שוחרר Mozilla Firefox 3.0.8

שוחררה גרסה 3.0.8 של הדפדפן Firefox. גרסה זו משפרת את היציבות ומתקנת בעיות שהתגלו לאחר שחרור גירסה 3.0.7 בתחילת החודש בעקבות גילוי שתי פרצות אבטחה מסוכנות שנחשפו לפני מספר ימים בכנס אבטחה. שדרוג אוטומטי יעביר בשעות הקרובות משתמשי Firefox 3 לגרסה זו. ניתן להפעיל את השדרוג באופן ידני מתפריט העזרה או באמצעות הורדה ישירה של גרסה זו מהרשת.

משתמשי Firefox 2.0 שעדיין לא שדרגו לגירסה 3.0 מתבקשים לשדרג לגירסה זו בכדי להנות מכל התכונות החדשות, ובכדי להישאר עם דפדפן מעודכן. התמיכה בגירסאות בסדרה 2.0 הופסקה, ומשתמשי גירסאות אלו לא מתוכננים לקבל עדכונים נוספים בעתיד.

הערות שחרור

הורדה

10 שנים ל-Mozilla, ועוד כמה ידיעות

בימים אלה חוגג פרוייקט Mozilla ‏10 שנים להיווסדו, כפרוייקט בתוך חברת נטקסקייפ ע"ה. מיטשל בייקר, יו"ר חברת מוזילה, הגלגול האחרון של הפרוייקט, ציינה את האירוע בבלוגה בשבוע שעבר, והוסיפה עותק של ההודעה לעיתונות בה הודיעה בשעתה נטסקייפ על הפרוייקט החדש.

ZDNet ראיינו את ברנדן אייק, סמנכ"ל טכנולוגיות בחברת Mozilla ומי שהמציא בעבר את שפת JavaScript, השפה המניעה כיום את מהפיכת ה-Web 2.0 (וידאו, כמעט 12 דקות).

הקוד של Firefox 3 Beta 3 מוקפא היום, לקראת שחרור בתחילת השבוע הבא. בתקופת הקפאת קוד מוכנסים רק תיקונים קריטיים, ולא תכונות חדשות.

Firefox 2.0.0.12, שהוא עדכון לגרסה היציבה האחרונה, צפוי להיות משוחרר בתאריך 12 לפברואר, עוד כשבועיים. כשזה יקרה, המשתמשים אמורים לקבל הודעה על העדכון החדש ואפשרות לעדכון אוטומטי.

פרצת אבטחה מאפשרת להריץ קוד שרירותי בפיירפוקס

הדעות בקרב המומחים והטוקבקיסטים חלוקות באשר לנטל האשמה, אך פרצת אבטחה שדווחה ביום שלישי השבוע מאפשרת להריץ קוד שרירותי בהרשאות מורחבות בעזרת Firefox 2.0 ומעלה. במילים אחרות, גרסה זו מאפשרת להריץ תוכנות במחשב המשתמש ללא בקרה.

מסתבר שבזמן ההתקנה, Firefox רושם במערכת Windows פרוטוקול בשם firefoxurl, ואת עצמו בתור מי שמטפל בפרוטוקול זה. לכן, כתובות המשתמשות בפרוטוקול זה באתרי אינטרנט (כתובת מהצורה firefoxurl://someaddress) מועברות על ידי אינטרנט אקספלורר ישירות אל Firefox ללא בדיקה. תוקף זדוני יכול לבנות כתובת כזו שתפעל בהרשאות מערכת ה-chrome של Firefox (מערכת ממשק המשתמש), הפועלת בהרשאות מורחבות יותר מאשר קוד המגיע מאתרי אינטרנט. בהרשאות אלו, Firefox מפעיל את הקוד, גם אם הוא מכיל פקודות גישה אל המערכת.

יש הטוענים שהאשמה נופלת על אקספלורר, שלא בדק מה הוא מעביר אל פיירפוקס. עקרונית פרצה דומה יכולה לקרות עם כל פרוטוקול שכל תוכנה רושמת במערכת. עם זאת, החתום מטה הפעיל את הקוד המוכיח את הפרצה גם בעזרת דפדפן SeaMonkey מעודכן, כך שלא רק אקספלורר לא בודק מה הוא מעביר בפרוטוקול זה.

מצד שני, יש הטוענים שהאשמה נופלת על פיירפוקס, שלא בודק מה הוא מקבל. המצדדים בטענה זו טוענים, למשל, שהתוכנה המקבלת את הפרוטוקול לא יודעת מה הוא ערך "נכון" עבור פרוטוקול זה, ומי שמטפל בו, פיירפוקס, צריך לדעת כיצד לבדוק אותו.

כך או אחרת, וינדו סניידר, אחראית האבטחה של חברת מוזילה, כבר הודיעה שתיקון לבעיה ישוחרר עם גרסה 2.0.0.5 של פיירפוקס הצפוייה בקרוב.

עוד קישורים בדיווח ב-mozillaZine.

הוארכה התמיכה ב-Firefox 1.5

התמיכה ב-Firefox 1.5 מבחינת עדכוני אבטחה, שהיתה אמורה להסתיים ב-24 באפריל, הוארכה עד אמצע חודש מאי. העדכון האחרון הביא את סדרה 1.5 לגרסה 1.5.0.11, והיה אמור להיות העדכון האחרון לסדרה זו. הארכת התמיכה בוצעה על מנת לאפשר ביצוע עדכון אחד נוסף, 1.5.0.12, שיאפשר מעבר חלק מגרסה 1.5 לגרסה 2.0. ככל הנראה, הכוונה היא לאפשר שדרוג אוטומטי מגרסה 1.5 לגרסה 2.0 באמצעות מנגנון עדכוני התוכנה של הדפדפן. עד כה, מנגנון זה איפשר לבצע עדכוני אבטחה בלבד, בעוד עדכוני גרסה מלאים דרשו מהמשתמש להוריד את קובץ ההתקנה של הגרסה החדשה ולבצע את השדרוג ידנית.

למעט במקרים בהם מסיבה זו או אחרת לא ניתן לשדרג לגרסה 2.0, מומלץ לכל מי שמשתמש בגרסה 1.5 לעדכן לגרסה 2 בהקדם, על מנת ליהנות מן התכונות החדשות בגרסה זו.

Mozilla שכרה "משהו אבטחה ראשית" חדשה

חברת Mozilla שכרה את שירותיה של וינדואו סניידר, בעבר אסטרטגית אבטחה במיקרוסופט, לתפקיד שמוגדר "משהו אבטחה ראשית" (Chief Security Something), מדווח שבועון המחשבים InformationWeek. שם לא יוצא דופן לאירגון שבראשו עומדת מי שנשאה בתואר "בוקרת לטאות ראשית" עד לא מזמן.

במסגרת תפקידה, סניידר מתכוונת לבדוק אם יש בקוד של Firefox תכונות שנוספו בעבר, אך אינן עוד בשימוש, ולהסיר אותן מהקוד. זאת כדי להקטין את מספר הדרכים בהן ניתן לתקוף את הדפדפן.

כשעבדה במיקרוסופט, היתה אחראית על אישור האבטחה של Windows XP SP2 ושל Windows Server 2003. לאחר מכן עבדה בחברת אבטחה ניו יורקית שייסדה. לפני שהצטרפה למיקרוסופט, היתה בין המייסדים של קבוצת ההאקרים שהפכה לחברת ייעוץ ונרכשה על ידי סימנטק, stake@.

בראיון הגנה וינדואו על רמת האבטחה של Firefox, באומרה שכדי להעריך את רמת האבטחה של מוצר, צריך לבדוק את מספר הימים בהם היה חשוף לפרצות. Firefox מקבל עדכוני אבטחה בתוך ימים מרגע שנמצא חור אבטחה, ולא תוך שבועות או חודשים כמו במתחרהו העיקרי.

מקור: אבקלבן

עדכון: רק עכשיו הגעתי אל הפוסט הזה בבלוג של שרפ, שהוא הדבר הכי קרוב להכרזה רשמית. וכאן יש תמונה.

חברות אנטי-וירוס מזהירות מסוס טרויאני המתחזה להרחבה של Firefox

חברות האבטחה מק'אפי וסופוס הודיעו על סוס טרויאני חדש, המתחזה להרחבה numberedlinks. הסוס חודר למחשבים עליהם כבר מותקנת הרושעה Downloader-AXM, המאפשרת את התקנתו, ואינו מנצל פרצה כלשהי ב-Firefox. לאחר ההורדה, הסוס הטרויאני מתקין את עצמו כהרחבה של Firefox על ידי שינוי ישיר של קבצי התצורה של הדפדפן, ועל ידי כך הוא עוקף את מנגנון התקנת ההרחבות של הדפדפן. עם זאת, לאחר ההתקנה, הסוס הטרויאני מופיע כהרחבה בשם numberedlinks 0.9 במנהל ההרחבות של הדפדפן, הזמין מתפריט "כלים". הסוס הטרויאני עוקב אחר סיסמאות ומידע אחר שהמשתמש מכניס באתרים, ושולח אותם אל מפעילי הסוס. הוא עשוי גם לחשוף סיסמאות ICQ ודואר אלקטרוני.
הרושעה Downloader-AXM יכולה להיות מותקנת כקובץ מצורף להודעת דוא"ל מזוייפת, המתחזה להיות מחברת Wal Mart. עם זאת, מק'אפי דיווחה גם על הדבקות המנצלות את הפרצה VBS/Psyme באינטרנט אקספלורר, שלא תוקנה כבר שלוש שנים.

על משתמשים המגלים במנהל ההרחבות שלהם את ההרחבה Numbered Links 0.9 מבלי שהתקינו אותה, לעדכן את רשימת הוירוסים בתוכנת האנטיוירוס שלהם ולסרוק את המחשב, בהתאם להוראות של תוכנת האנטי וירוס המותקנת אצלם.

מידע באתר מק'אפי, מידע באתר סופוס.

התגלה פגם אבטחה במנגנון הטיפול בשמות מתחם בינלאומיים

פגם אבטחה התגלה במנגנון הטיפול בשמות מתחם בינלאומיים (שמות מתחם [כתובות של אתרים] המשתמשים באותיות לא לטיניות) ב־Firefox 1.0.6 ו־Mozilla ApplicationSuite 1.7.11. הפגם יכול עקרונית לאפשר לתוקף ליצור שם מתחם באופן כזה שיאפשר להריץ קוד על המחשב. עד כה לא ידוע על ניצול קיים של הפגם.

כפתרון זמני, עד שתצא גרסה מעודכנת של הדפדפנים, ניתן לכבות את התמיכה בשמות מתחם בינלאומיים.
הדרך האוטומטית:

  1. יש להתקין את הטלאי המקושר מדף זה:
    https://addons.mozilla.org/messages/307259.html (תחת הכותרת Installing the patch) ולאתחל את הדפדפן.
  2. כדי לוודא שהטלאי עודכן בהצלחה, יש לפתוח את דף "אודות" מתפריט "עזרה" ולוודא שבסוף מחרוזת זיהוי הדפדפן מופיע "(noIDN)".

הדרך הידנית:

  1. הקלידו about:config בשורת הכתובת של הדפדפן והקישו על Enter.
  2. בשדה "מסנן" (Filter) הקלידו network.enableIDN.
  3. ליחצו עם כפתור העכבר הימני על הערך network.enableIDN
    • בדפדפן Firefox, ביחרו "החלף" כדי לשנות את הערך ל-false.
    • בדפדפן Mozilla Suite, ביחרו "שנה" והקלידו false בתיבת הטקסט המופיעה.
  4. אתחלו את הדפדפן.
  5. כדי לוודא שהתיקון בוצע בהצלחה, יש להיכנס שוב ל־about:config ולמצוא את network.enableIDN כמו קודם, ולוודא שערכו false.

יתכן שחלק מן המשתמשים כבר כיבו בעבר את התמיכה בשמות מתחם בינלאומיים עקב בעיה שהתגלתה במנגנון זה מוקדם יותר השנה, שמקורה באופן הגדרת התקן של שמות מתחם כאלה.

למידע נוסף:
https://addons.mozilla.org/messages/307259.html

התמיכה של פיירפוקס ב־SSL 2.0 מתוכננת להסרה

התמיכה ב־SSL גירסה 2.0 מתוכננת להסרה מפיירפוקס. SSL מספק קישור מוצפן לשרתים, ומאפשר העברת נתונים מאובטחת של נתוני חשבונות בנק וכרטיסי אשראי על גבי האינטרנט. לרוע המזל, קיימות מספר פרצות אבטחה ידועות ב־SSL 2.0, אשר היווה את הגירסה הראשונה לתקן (לא שוחררה מעולם תוכנה שתמכה ב־SSL 1.0). לכן, קרן מוזילה מתכננת לבטל את התמיכה ב־SSL 2.0, ולאפשר לתוכנה להשתמש רק בפרוטוקולים החדשים והמאובטחים יותר – SSL 3.0 ו-TLS 1.0.

מאמינים כי רק מספר מועט של אתרים תומך בתקן SSL 2.0 בלבד, כאשר רוב האתרים המאובטחים תומכים לפחות ב־SSL 3.0. בחודש מאי האחרון, Gervase Markham ביקש ממפתחים ובודקי האיכות לדווח על אתרים שתומכים רק ב־SSL 2.0 כדי לקבל מושג על הכמות. על סמך נתונים אלו נבנתה רשימה, והוא ביקש ממתנדבים ליצור קשר עם מתחזקי האתרים הנ"ל ולבקש מהם לאמץ את התמיכה ב־SSL 3.0 ו/או TLS 1.0. לפי הדיווח האחרון של Grev, קיימים בסביבות 2,000 אתרים שתומכים רק ב־SSL 2.0, לאחר שספקית אינטרנט גדולה שידרגה את שרתיה, ובצעד זה הורידה את כמות האתרים במספר אלפים.

Netscape Communications Corporation אימצה את התקן SSL 2.0 עם שיחרור גירסה 1.0 של Netscape Navigator בשנת 1994. Netscape Navigator גירסה 2.0, אשר שוחררה בשנת 1996 כבר כללה תמיכה בתקן SSL 3.0. המפרט של TLS 1.0, שבעיקרו הוא סטנדרטיזציה של התקן SSL 3.0 עם מספר שינויים פורסם ב־1996.

מקור: MozillaZine

בעיות אבטחה עם ההרחבה GreaseMonkey

אמש התגלתה בעית אבטחה חמורה בשימוש בהרחבה GreaseMonkey בגירסאות מאוחרות ל-0.3.5 או גירסאות אלפא של 0.4. הבעיה מאפשרת לאתרים לקרוא תוכן תיקיות וקבצים בדיסק הקשיח באמצעות XmlHttpRequest, בכל הפלטפורמות, כאשר חייב להיות משוייך לאתר תסריט GM כלשהו.

הבעיה נובעת משינויים שנעשו ב-API של ההרחבה על-מנת לתת לה כוח נוסף מעבר לכוח שיש לתסריטי ג'אווה-סקריפט ב-HTML. עד לתיקון הבעיה יעברו מספר ימים, וההמלצה היא או להשתמש בגירסה 0.3.5 או להסיר/לבטל את ההרחבה. שימו לב כי הרחבות שמשתמשות ב-API המתקדם יותר תחדלנה מלתפקד בגירסה זו.

יש שיגידו שמדובר בתופעת הלוואי של מוצרים כשהם מגיעים ל-Mainstream, ויש שיגידו כי מדובר פשוט בהרחבה שנותנת יותר מידי כוח לתסריטי משתמש.

למידע נוסף: Greaseblog: Mandatory Greasemonkey Update

עדכון אבטחה ל־Firefox

קרן מוזילה שיחררה עדכון אבטחה לגרסה PR (0.10)‎ (הגרסה האחרונה) של Firefox. את העידכון ניתן להוריד בצורת הרחבת XPI מכאן (רק לדפדפני Firefox).

ההודעה לא פירטה איזה גרסאות מושפעות מפירצת האבטחה, שנתגלתה השבוע, אלא רק המליצה להתקין את הטלאי או לעדכן את הדפדפן. עד שיתברר עניין הגרסאות, לדעתי עדיף שלא להתקין את הטלאי על גרסאות ‎0.9.x.

אנו מצפים להוציא גרסה עברית של גרסה PR (0.10)‎ במהלך השבוע.

מקור: הודעה לעיתונות של קרן מוזילה