Як Mozilla виправляє уразливості

17:22 19.09.2012

В 2009 році я вже писав про те, як Mozilla виправляє дірки в своїх браузерах. Тоді Мозіла приховано виправила Cross-Site Scripting та Charset Remembering уразливості в браузері Firefox через UTF-7 (через протоколи gopher, http, https і ftp) - про ці уразливості я повідомив їм в 2007 (про XSS, а про Charset Remembering в 2009), а вони приховано їх виправили у вересні 2008 року.

Після чого я виявив нові уразливості й розробив PoC для демонстрації аналогічних XSS і Charset Remembering атак через інші кодування. Про це я повідомив Мозілі, але вона проігнорувала. Після чого, в березні 2009 року, я написав про ці атаки, а в червні цього року я оприлюднив XSS і Charset Remembering уразливості через кодування в різних браузерах.

І через 2,5 роки, після мого повідомлення Мозілі, в листопаді 2011 в MFSA 2011-47 вони виправили частину цих дірок (лише атаку через Shift-JIS), після того, як їм вже вкотре про це нагадали. А в квітні 2012 в MFSA 2012-24 вони виправили іншу частину дірок (через EUC-JP та інші кодування), після того, як їм вкотре нагадали про проблему атак через багатобайтні кодування.

При цьому, увесь цей час дані уразливості були в браузерах від Mozilla. Аналогічні дірки в тих чи інших кодуваннях були в IE та Opera. Так що проігнорувавши і не подякувавши мені, вони через 2,5-3 роки виправили ці дірки. Без жодних посилань на мене, але хоча б в своїх advisory про ці виправлення вони згадали.

А ось наступні дві уразливості були приховано виправлені Mozilla. Cross-Site Scripting уразливості в Mozilla та Firefox, яку я оприлюднив у липні 2009 року, і Cross-Site Scripting уразливість в Mozilla, Firefox та інших браузерах, яку я оприлюднив у серпні 2010 року, були проігноровані і не виправлені Мозілою. І ось на минулому тижні я вияснив, що в браузерах Firefox 10.0.7 і Firefox 15.0.1 дані уразливості були приховано виправлені Mozilla, без жодних офіційних повідомлень і посилань на мене. Після того, як десь на протязі 1998-2011 років вони тримали ці дірки в своїх браузерах. Як я детально перевірив у всіх гілках браузера з 3.0.19 до 15.0.1, в Mozilla Firefox 8.0.1 дані XSS працюють, а в 9.0.1 вже ні, тобто вони були приховано виправлені в версії 9.0.

Тобто компанія багаторазово продемонструвала несерйозний підхід до виправлення уразливостей в своєму браузері. І подібна ламерська поведінка Mozilla Foundation є дуже несерйозною, як й інших виробників браузерів, що займаються прихованим виправленням уразливостей (про такі випадки я вже писав раніше).


Leave a Reply

You must be logged in to post a comment.