Mozilla kehittää Firefoxia sotkemalla
6.8.2007 11:05 Mozillan Window Snyder ja Mike Shaver julkistivat Black Hat -tietoturvatapahtumassa Firefoxin kehittämisessä hyödynnetyn javascript-moottoreiden bugien ja haavoittuvuuksien etsimiseen tarkoitetun sotkijan.
Mozillan Window Snyder ja Mike Shaver julkistivat Black Hat -konferenssissa jsfunfuzz -sotkijan (fuzzer). Sen avulla kehittäjät voivat syöttää selainten javascript-tulkeille satunnaisesti sotkettua ja vääristeltyä koodia. Näin pystytään korjaamaan monia bugeja.
Julkistettu ohjelma ei testaa selainten dom (document object model) -toimintoja, vaan pelkästään javascript-moottoria.
Jesse Rudemanin kehittämän jsfunfuzzin avulla Mozilla Firefoxista on jo löydetty 280 bugia. Näistä kaksi tusinaa oli muistirajoihin liittyviä bugeja. Näitä olisi todennäköisesti voitu hyödyntää haittakoodin suorittamisessa selaimessa.
Snyder kertoi "Building and breaking the browser" -esityksessään, että sotkijaa voidaan hyödyntää myös muiden selainten toiminnan parantamiseksi. Mozilla onkin lähettänyt työkalun Microsoftille ja Operalle jo toukokuussa, muttei ole kuullut kuin Operasta. Nyt säätiö julkisti työkalun kaikille.
Operan testausjohtaja Claudio Santambrogion mukaan Opera-selaimesta on löydetty Mozillan työkalulla neljä kaatumistapausta, joista yksi voi olla tietoturvahaavoittuvuus.
Matias Mäki
matias.maki@sanoma.fi
Teksti on lisensoitu Creative Commons Nimeä-Ei muutoksia-Epäkaupallinen -lisenssillä.
- Digitodayn tuoreimmat uutiset.
- 13:48 Vankilaan tuomittu Harri Johannesdahl: "Ei tämä näin voi mennä"
- 13:48 Pelipalvelu tekee tietokoneista tyhmiä
- 13:14 Tehokurssilla koodataan Android-sovelluksia
- 11:55 Vuoden mainosteko: Vaihtamalla paranee
- 11:27 Twitter seuloo vaaralliset verkko-osoitteet
- 10:49 Facebook tietää pian missä luuhailet
- 09:30 FreejamTV esittelee hakkereita ja innovoijia
- 09:25 Operan mobiiliselain ilmestyi Androidille
- 11.3. Virolaismies kosti If-vakuutusyhtiölle viruksella
- 11.3. HP vihjaa kilpailijan osallisuudesta rekkaryöstöihin
- 11.3. Lindén: Yle-maksu olisi lisännyt ulosottoja
- 11.3. Intel julkaisi prosessorin himopelaajille
- 11.3. Automaatti ansoitettiin 20 sekunnissa
- 11.3. Wlan päihitti datasähkön
- 11.3. Poliisi lähestyy verkkokansaa vinkkinapilla
- 11.3. Irtisanottu yritti sabotoida terroristitietokantaa
- 11.3. Nokia-laatikosta tuli slangisana lahjonnalle
- 11.3. Motorola tunkee Bingin Android-kännyköihin
- 11.3. Tutkimusyhtiö: Nokia on jäänyt muista jälkeen
- 11.3. Elisa nokittaa Soneraa formuloilla
- Uusimmat
- 48h luetuimmat kaikista uutisista.
- 9.3. IPhone-kehittäjien salainen sopimus paljastui
- 10.3. Analyytikko: PS3 pesee kaikki
- 11.3. Tutkimusyhtiö: Nokia on jäänyt muista jälkeen
- 11.3. Lindén: Yle-maksu olisi lisännyt ulosottoja
- 11.3. Automaatti ansoitettiin 20 sekunnissa
- 10:49 Facebook tietää pian missä luuhailet
- 9.3. Soneran televisio ottaa yhteen Elisa Viihteen kanssa
- 10.3. Pornon xxx-verkkotunnus heräsi henkiin
- 10.3. Sony tuo 3d-televisionsa kauppoihin kesäkuussa
- 10.3. Harri Johannesdahl: Menen vankilaan
- Luetuimmat
- 48h suositelluimmat kaikista uutisista.
- 9.3. IPhone-kehittäjien salainen sopimus paljastui
- 11.3. Tutkimusyhtiö: Nokia on jäänyt muista jälkeen
- 9.3. Paristovalmistaja levitti virusta
- 11.3. Lindén: Yle-maksu olisi lisännyt ulosottoja
- Suositelluimmat
- 48h kommentoiduimmat kaikista uutisista.
- 11.3. Tutkimusyhtiö: Nokia on jäänyt muista jälkeen
- 11.3. Lindén: Yle-maksu olisi lisännyt ulosottoja
- 9.3. IPhone-kehittäjien salainen sopimus paljastui
- 10.3. Analyytikko: PS3 pesee kaikki
- 9.3. Soneran televisio ottaa yhteen Elisa Viihteen kanssa
- 10.3. Harri Johannesdahl: Menen vankilaan
- 10.3. Sony tuo 3d-televisionsa kauppoihin kesäkuussa
- 10.3. Applen oikeusjutut voivat poikia Windows-puhelimia
- 9.3. Peli katkesi palvelinhyökkäykseen
- 10.3. Kierrätä kännykkä, saat rahaa
- Kommentoiduimmat
RSS-feedit
Seuraa Digitodayn kaikkia uutisia tai vain tiettyä osiota RSS:llä.
Palautetta?
Lähetä risut, ruusut ja uutisvinkit toimitukselle.
Uusimmat uutiset
- Twitter seuloo vaaralliset verkko-osoitteet 11:27
- Facebook tietää pian missä luuhailet 10:49
- Virolaismies kosti If-vakuutusyhtiölle viruksella 17:08
- Automaatti ansoitettiin 20 sekunnissa 15:03
- Irtisanottu yritti sabotoida terroristitietokantaa 13:28
- Hyökkäys hallitsi Microsoftin korjaustiistaita 15:02
- Vodafonen kännykästä löytyi viruksia esiasennettuna 14:46
- Apache-ohjelmisto suojattiin hyökkäyskoodilta 13:17
- Lisää
-
-80 e
Acer Aspire G7750 (Core i7-920, 12 Gt, 2 Tt, Win 7 Home Premium), keskusyksikkö
-
-56 e
Acer Aspire M7721 (Core i7-920, 8 Gt, 1 Tt, Win 7 Professional), keskusyksikkö
-
-45 e
Acer Aspire M5811 (Core i3-530, 8 Gt, 1 Tt, Win 7 Home Premium), keskusyksikkö
-
-40 e
Acer Aspire M5811 (Core i5-750, 8 Gt, 1 Tt, Win 7 Home Premium), keskusyksikkö
-
-26 e
Acer Aspire M7721 (Core i7-920, 8 Gt, 1 Tt, Win 7 Home Premium), keskusyksikkö
Kommentit (7)
Joten, juttu on enemmän että MS:stä uutisarvoa ei ilmeisesti löydä muut kuin negatiiviset uutiset?
http://www.defcon.org
media and archive sivuilla yleensä vanhempia esityksiä.
google: blackhat 2007
Esim. Linuxin kerneliä on stressitestattu vastaavalla työkalulla jo vuodesta miekka ja kilpi, eli ajettu silkkaa puppu-koodia ja katsottu että kaatuuko vain ohjelma (kuten pitäisi) vai hajoaako jotain ihan oikeastikin (kuten ei pitäisi). Sillä tekniikalla saadaan vielä tänäkin päivänä yllättävän paljon virheitä kiinni, sekä regressioita että uusia.
Todennäköisesti kaikki käyttöjärjestelmät testataan samoilla tavoin (BSD:t, Windowsit, QNX, jne)