MozTW 討論區

各項 Mozilla 相關軟體與技術討論
現在的時間是 2025-08-05, 08:11

檢視沒有回覆的主題 | 檢視最近討論的主題


MozTW » 討論區首頁 » 文件翻譯 和 軟體在地化討論 » 新聞與報導

所有顯示的時間為 UTC + 8 小時





發表新文章 回覆主題  第 1 頁 (共 1 頁)
  [ 14 篇文章 ] 
  列印模式 上一個主題 | 下一個主題 
發表人 內容
Tenki
文章發表於 : 2005-09-10, 02:18 
離線
頭像

註冊時間: 2004-11-07, 21:34
文章: 525
來自: Prison Camp No.27 , Iraq
來源 :

按此處

註 : 此報導經由mozillazine轉載, 網址是http://www.mozillazine.org/talkback.html?article=7307

抱歉目前只有英文報導, CNET中文網站應該會隨後刊登

摘要

引言回覆:
A new, unpatched flaw in that affects all versions of Firefox could let attackers surreptitiously run malicious code on users' PCs, a security researcher has warned


(一位安全研究專家警告,在所有版本的Firefox中的一項新的未修補瑕疵能允許攻擊者在使用者電腦中執行惡意程式)
回頂端
Mozilla/5.0 (Windows; U; Windows NT 5.1; zh-TW; rv:1.7.10) Gecko/20050717 Firefox/1.0.6
 個人資料  
引用回覆  
ants
 文章主題 :
文章發表於 : 2005-09-10, 12:54 
離線
[網站管理員]
頭像

註冊時間: 2003-07-22, 11:00
文章: 1796
來自: Sydney
http://www.frsirt.com/english/advisories/2005/1690
引言回覆:
A vulnerability has been identified in Mozilla Firefox, which could be exploited by remote attackers to execute arbitrary commands. This flaw is due to a buffer overflow error in the "NormalizeIDN" function when handling specially crafted URLs embedded in "HREF" tags, which could be exploited by remote attackers to take complete control of an affected system via specially crafted Web pages.

_________________
Netscape 9 | SillyDog701: Switch guide | Browser Archive | MozInfo701
MacCentre701 | AntBlog701
Don't steal music.
回頂端
Mozilla/5.0 (Macintosh; U; PPC Mac OS X; en) AppleWebKit/412.7 (KHTML, like Gecko) Safari/412.5
 個人資料  
引用回覆  
BestSteve
文章發表於 : 2005-09-10, 22:09 
離線

註冊時間: 2005-05-30, 22:55
文章: 63
https://addons.mozilla.org/messages/307259.html
引言回覆:
On September 6 a security vulnerability affecting all versions of Mozilla Firefox and the Mozilla Suite was reported to Mozilla by Tom Ferris and on September 8th was publicly disclosed.

On September 9, the Mozilla team released a configuration change which, as a temporary measure to work around this problem, disables IDN in the browser. IDN functionality will be restored in a future product update. The fix is either a manual configuration change or a small download which will make this configuration change for the user. Instructions on administering these changes can be found below.

請大家趕快修補吧!

_________________
體術之境界
圖檔
圖檔
回頂端
Mozilla/5.0 (Windows; U; Windows NT 5.1; zh-TW; rv:1.7.10) Gecko/20050717 Firefox/1.0.6
 個人資料  
引用回覆  
Tenki
 文章主題 :
文章發表於 : 2005-09-10, 23:49 
離線
頭像

註冊時間: 2004-11-07, 21:34
文章: 525
來自: Prison Camp No.27 , Iraq
只要加裝xpi檔修正. user agent 應會加上 no IDN

修正檔下載處

請管理員盡快公告....
回頂端
Mozilla/5.0 (Windows; U; Windows NT 5.1; zh-TW; rv:1.7.10) Gecko/20050717 (No IDN) Firefox/1.0.6
 個人資料  
引用回覆  
ants
 文章主題 :
文章發表於 : 2005-09-11, 00:53 
離線
[網站管理員]
頭像

註冊時間: 2003-07-22, 11:00
文章: 1796
來自: Sydney
BestSteve 寫:
請大家趕快修補吧!
Or use Safari ;-)

_________________
Netscape 9 | SillyDog701: Switch guide | Browser Archive | MozInfo701
MacCentre701 | AntBlog701
Don't steal music.
回頂端
Mozilla/5.0 (Macintosh; U; PPC Mac OS X; en) AppleWebKit/412.7 (KHTML, like Gecko) Safari/412.5
 個人資料  
引用回覆  
kourge
 文章主題 :
文章發表於 : 2005-09-12, 09:55 
離線
[網站管理員]
頭像

註冊時間: 2004-09-27, 09:24
文章: 1685
補補補~^^
patch for your lives~

其實 Gecko browser 的使用者好像也沒聽過什麼時候真的成為 security flaw 的受害者...

I love UA spoofing

_________________
korp + korp 中文站(沒精神更新)
回頂端
Mozilla/5.0 (Macintosh; U; PPC Mac OS X; zh-TW) AppleWebKit/125.4 (KHTML, like Gecko) Safari/125.9
 個人資料  
引用回覆  
ants
 文章主題 :
文章發表於 : 2005-09-12, 10:29 
離線
[網站管理員]
頭像

註冊時間: 2003-07-22, 11:00
文章: 1796
來自: Sydney
kourge 寫:
I love UA spoofing
Pointless.
UA spoofing breaks all the server detections.

_________________
Netscape 9 | SillyDog701: Switch guide | Browser Archive | MozInfo701
MacCentre701 | AntBlog701
Don't steal music.
回頂端
Mozilla/5.0 (Macintosh; U; PPC Mac OS X; en) AppleWebKit/412.7 (KHTML, like Gecko) Safari/412.5
 個人資料  
引用回覆  
Alica
 文章主題 :
文章發表於 : 2005-09-12, 10:43 
ants 寫:
kourge 寫:
I love UA spoofing
Pointless.
UA spoofing breaks all the server detections.

但是某些情況卻是網站逼使用者不得不偽裝。像Yahoo!奇摩的會員登入介面用Opera直接上就一定會失敗,但叫Opera把UA字串偽裝成Firefox或IE就都可以過……又如PCHome個人網頁,直接把非泛Mozilla系(UA字串有Mozilla字樣就算,所以Firefox跟IE都包含在內)的東西通通都擋光了,Opera碰到這個也是要偽裝才看得到東西。

總而言之UA偽裝有沒有用處是由使用者決定,不是由網站管理者決定的。
回頂端
Opera/8.02 (Windows 98; U; zh-tw)
  
引用回覆  
Tenki
 文章主題 :
文章發表於 : 2005-09-12, 12:00 
離線
頭像

註冊時間: 2004-11-07, 21:34
文章: 525
來自: Prison Camp No.27 , Iraq
想說的是,漏洞本身不是最大問題(我也不知它多嚴重),可能引起的效應才是,相信現在一堆人可能就為這個跑去改用Opera嗎?

我清早針對公告的作法真有些意見,不是太晚公告,而是該多做一點,至少該對這漏洞包括修補檔發置頂文向人釋疑一下...... Fx出太多次這種事情了,管它本身究竟有什麼大不了,不來點說法只會讓人開始有"奇怪"的聯想了.

不然請大大到時主動向媒體回應吧, 這也是一個方式.

只是目前請趁中文媒體可能越報越多時,請快加強防禦工事吧(?) - 若報得不多也就罷了,只是我很懷疑這可能性.
回頂端
Mozilla/5.0 (Windows; U; Windows NT 5.1; zh-TW; rv:1.7.10) Gecko/20050717 (No IDN) Firefox/1.0.6
 個人資料  
引用回覆  
ants
 文章主題 :
文章發表於 : 2005-09-12, 15:03 
離線
[網站管理員]
頭像

註冊時間: 2003-07-22, 11:00
文章: 1796
來自: Sydney
Alica 寫:
總而言之UA偽裝有沒有用處是由使用者決定,不是由網站管理者決定的。
It's pointless to fake to other browsers. OR even creating useless strings to advertise junk.

_________________
Netscape 9 | SillyDog701: Switch guide | Browser Archive | MozInfo701
MacCentre701 | AntBlog701
Don't steal music.
回頂端
Mozilla/5.0 (Macintosh; U; PPC Mac OS X; en) AppleWebKit/412.7 (KHTML, like Gecko) Safari/412.5
 個人資料  
引用回覆  
ants
 文章主題 :
文章發表於 : 2005-09-12, 17:04 
離線
[網站管理員]
頭像

註冊時間: 2003-07-22, 11:00
文章: 1796
來自: Sydney
There's something interesting from BetaNews: Security Vulnerability Threatens Firefox:
A security researcher has issued an advisory on a new vulnerability in Firefox that could lead to the remote execution of arbitrary code. The flaw was first reported to Mozilla developers by Tom Ferris earlier this week, but he opted to publicly disclose the problem following a disagreement.

The vulnerability relates to Firefox's handling of IDN, or international domain names, and can be exploited by long Web links that contain dashes. The flaw causes a buffer overflow and opens the door for malicious code to be run on a PC.

...

Ferris recently discovered a flaw in Internet Explorer 6, which he reported to Microsoft in August. He did not disclose details on that vulnerability, however. Ferris was also credited by Microsoft for discovering a security flaw in the Remote Desktop Protocol.

BetaNews says it's for PC. Is Mac safe?

Exactly, what was the "disagreement"? Ferris did not disclose details on MSIE's vulnerability, but opted to disclose the Firefox vulnerability?
Or shall I ask, what has Mozilla Foundation done to Tom Ferris?

_________________
Netscape 9 | SillyDog701: Switch guide | Browser Archive | MozInfo701
MacCentre701 | AntBlog701
Don't steal music.
回頂端
Mozilla/5.0 (Macintosh; U; PPC Mac OS X; en) AppleWebKit/412.7 (KHTML, like Gecko) Safari/412.5
 個人資料  
引用回覆  
Tenki
 文章主題 :
文章發表於 : 2005-09-12, 21:47 
離線
頭像

註冊時間: 2004-11-07, 21:34
文章: 525
來自: Prison Camp No.27 , Iraq
ants 寫:
...
(恕省略)
BetaNews says it's for PC. Is Mac safe?
Exactly, what was the "disagreement"? Ferris did not disclose details on MSIE's vulnerability, but opted to disclose the Firefox vulnerability?
Or shall I ask, what has Mozilla Foundation done to Tom Ferris?


Mac是不是safe我不知道, 不過只要是Fx不管哪個版本都應該有影響(連裝了修正檔也是).

Cnet也提到Moz和這位專家"意見不合"的事情了, 站在Moz的立場而言這確實敏感了些? 不過除非他們有什麼協議, 否則這位專家沒有義務要配合Moz公開消息吧.

所以Moz的態度也許有待商榷, 不過好歹沒有違背他們對自己快速應變的要求, 使用者不會因此造成任何損失就很好了, 這至少證明了Moz重視安全性問題.

不過影響恐怕要持續下去了, IDN這東西不知華文語系的網站現在比例多大, 關掉整個功能也許會讓一些人造成不便, 目前的作法希望只是暫時的.
回頂端
Mozilla/5.0 (Windows; U; Windows NT 5.1; zh-TW; rv:1.7.10) Gecko/20050717 (No IDN) Firefox/1.0.6
 個人資料  
引用回覆  
ants
 文章主題 :
文章發表於 : 2005-09-12, 22:06 
離線
[網站管理員]
頭像

註冊時間: 2003-07-22, 11:00
文章: 1796
來自: Sydney
Tenki 寫:
Cnet也提到Moz和這位專家"意見不合"的事情了, 站在Moz的立場而言這確實敏感了些? 不過除非他們有什麼協議, 否則這位專家沒有義務要配合Moz公開消息吧.

所以Moz的態度也許有待商榷, 不過好歹沒有違背他們對自己快速應變的要求, 使用者不會因此造成任何損失就很好了, 這至少證明了Moz重視安全性問題.
I read it the other way, Mozilla Foundations was hesitated and was forced to provide updates after such security vulnerability being made public.

_________________
Netscape 9 | SillyDog701: Switch guide | Browser Archive | MozInfo701
MacCentre701 | AntBlog701
Don't steal music.
回頂端
Mozilla/5.0 (Macintosh; U; PPC Mac OS X; en) AppleWebKit/412.7 (KHTML, like Gecko) Safari/412.5
 個人資料  
引用回覆  
Tenki
 文章主題 :
文章發表於 : 2005-09-12, 22:50 
離線
頭像

註冊時間: 2004-11-07, 21:34
文章: 525
來自: Prison Camp No.27 , Iraq
ants 寫:
I read it the other way, Mozilla Foundations was hesitated and was forced to provide updates after such security vulnerability being made public.


唉.......會這樣做也是有原因的吧? 除了關掉一途還有什麼辦法能在一兩天內就出爐的呢?他們原來是要求發佈同時就有修正檔(不是只有關掉) 我只能說想這樣做結果便注定是不能讓人滿意了.

還有, 發布修正這種事會有被阻擾的情況嗎, 真不知道這是怎麼回事....
回頂端
Mozilla/5.0 (Windows; U; Windows NT 5.1; zh-TW; rv:1.7.10) Gecko/20050717 (No IDN) Firefox/1.0.6
 個人資料  
引用回覆  
顯示文章 :  排序  
發表新文章 回覆主題  第 1 頁 (共 1 頁)
  [ 14 篇文章 ] 

MozTW » 討論區首頁 » 文件翻譯 和 軟體在地化討論 » 新聞與報導

所有顯示的時間為 UTC + 8 小時


誰在線上

正在瀏覽這個版面的使用者:沒有註冊會員 和 2 位訪客

不能 在這個版面發表主題
不能 在這個版面回覆主題
不能 在這個版面編輯您的文章
不能 在這個版面刪除您的文章
不能 在這個版面上傳附加檔案

搜尋:
前往 :  
cron
Powered by phpBB® Forum Software © phpBB Group
正體中文語系由 竹貓星球 維護製作
© moztw.org, Mozilla Foundation
MozTW,Mozilla 台灣社群