Mozilla kehittää Firefoxia sotkemalla
6.8.2007 11:05 Mozillan Window Snyder ja Mike Shaver julkistivat Black Hat -tietoturvatapahtumassa Firefoxin kehittämisessä hyödynnetyn javascript-moottoreiden bugien ja haavoittuvuuksien etsimiseen tarkoitetun sotkijan.
Mozillan Window Snyder ja Mike Shaver julkistivat Black Hat -konferenssissa jsfunfuzz -sotkijan (fuzzer). Sen avulla kehittäjät voivat syöttää selainten javascript-tulkeille satunnaisesti sotkettua ja vääristeltyä koodia. Näin pystytään korjaamaan monia bugeja.
Julkistettu ohjelma ei testaa selainten dom (document object model) -toimintoja, vaan pelkästään javascript-moottoria.
Jesse Rudemanin kehittämän jsfunfuzzin avulla Mozilla Firefoxista on jo löydetty 280 bugia. Näistä kaksi tusinaa oli muistirajoihin liittyviä bugeja. Näitä olisi todennäköisesti voitu hyödyntää haittakoodin suorittamisessa selaimessa.
Snyder kertoi "Building and breaking the browser" -esityksessään, että sotkijaa voidaan hyödyntää myös muiden selainten toiminnan parantamiseksi. Mozilla onkin lähettänyt työkalun Microsoftille ja Operalle jo toukokuussa, muttei ole kuullut kuin Operasta. Nyt säätiö julkisti työkalun kaikille.
Operan testausjohtaja Claudio Santambrogion mukaan Opera-selaimesta on löydetty Mozillan työkalulla neljä kaatumistapausta, joista yksi voi olla tietoturvahaavoittuvuus.
Matias Mäki
matias.maki@sanoma.fi
Teksti on lisensoitu Creative Commons Nimeä-Ei muutoksia-Epäkaupallinen -lisenssillä.
- Digitodayn tuoreimmat uutiset.
- 16:21 Siri opiskelee kiinaa ja venäjää
- 15:55 Peliskene poimi presidentin palkinnon
- 14:20 Google: Näytä surfailusi, saat rahaa
- 14:16 Skimmaajat teettivät erikoislaitteita Suomen oloihin
- 13:19 Samsungilta ei julkistuksia Barcelonassa
- 13:05 Ciscon tulos parani reippaasti
- 11:02 Angry Birds laskeutui Helsinki-Vantaalle
- 10:22 Yllättävä ongelma: iPhone 4S ei toimi kiinalaisten sim-kortilla
- 09:46 Apple myy vihdoin iPhone 4S:ää Kiinassa
- 09:11 Sadan tonnin sakot kuluttajien harhauttamisesta
- 07:00 Microsoft tarjoaa Lumia 800 -kimppua ystävänpäivänä
- 00:22 Windows 8:n testiversio ilmestyy karkauspäivänä
- 8.2. Kaksi minuuttia Iron Skyta – Elokuva "täynnä vastoinkäymisiä"
- 8.2. Applen televisio voi saada liikeohjauksen
- 8.2. Brittilehti sekaantui sähköpostien vakoiluun
- 8.2. Tieto etsii Nokialle korvaajaa Android-töistä
- 8.2. Xbox nousi vuoden ostetuimmaksi
- 8.2. @450-verkko vaihtaa tekniikkaa
- 8.2. Nokia-pomo: Puhelimet ovat Designed in Finland
- 8.2. Kiinassa tarjolla miljardien eurojen verkkourakat
- Uusimmat
- 48h luetuimmat kaikista uutisista.
- 8.2. Nokia-pomo: Puhelimet ovat Designed in Finland
- 8.2. Nokian Salon tehdasta on ajettu alas pitkään
- 6.2. Pelkkä kortin vilautus riittää kaupan kassalla
- 6.2. Nokia Lumia saa valkoisen värin
- 7.2. Belle-päivitys tuli viimein Symbianiin
- 8.2. Kaksi minuuttia Iron Skyta – Elokuva "täynnä vastoinkäymisiä"
- 6.2. Riita roihahti Android Marketin 15 minuutin palautusajasta
- 6.2. Suosittu piraattisivusto antautui
- 6.2. Google pyyhki Atlantiksen kartalta
- 8.2. Nokia julkistaa huippupuhelimen Barcelonassa
- Luetuimmat
- 48h suositelluimmat kaikista uutisista.
- Suositelluimmat
- 48h kommentoiduimmat kaikista uutisista.
- 8.2. Nokia-pomo: Puhelimet ovat Designed in Finland
- 6.2. Nokia Lumia saa valkoisen värin
- 10:22 Yllättävä ongelma: iPhone 4S ei toimi kiinalaisten sim-kortilla
- 8.2. Nokian Salon tehdasta on ajettu alas pitkään
- 8.2. Applen televisio voi saada liikeohjauksen
- 6.2. Pelkkä kortin vilautus riittää kaupan kassalla
- 07:00 Microsoft tarjoaa Lumia 800 -kimppua ystävänpäivänä
- 6.2. Apple hakkasi Nokian ennätyksen
- 7.2. Nokia kertoo miten käy Salon tehtaan
- 7.2. Microsoft poistaa start-napin
- Kommentoiduimmat
Uutisviikko
Mitä viikolla on tapahtunut, mikä puhuttanut eniten? Koko viikon uutiset.
Uutispäivä
Vuorokauden kaikki uutiset yhdellä sivulla.
Uusimmat uutiset
- Skimmaajat teettivät erikoislaitteita Suomen oloihin 14:16
- Brittilehti sekaantui sähköpostien vakoiluun 15:46
- Suomalaiset taitavat tietoturvan hopean arvoisesti 21:47
- Tietoturvayhtiöltä yritettiin kiristää lunnasrahoja 13:15
- Äidit käyvät imettämällä Facebookia vastaan 09:21
- Suosittu piraattisivusto antautui 13:02
- Hakkerit veivät tietoa VeriSignin palvelimilta 10:08
- Google palkkasi portsarin Android Markettiin 09:09
- Lisää
Digiyesterday
Viisi vuotta sitten
Etteplanin tulos tuplaantui
09.02.2007 Teollisuudelle suunnittelupalveluja tarjoavan Etteplanin tulos ennen veroja lähes kaksinkertaistui tammi–joulukuussa verrattuna edellisvuoteen.
Kolme vuotta sitten
Television hätätiedote ärsytti
09.02.2009 Hätätiedotteiden välitysjärjestelmää testataan jälleen radiossa kaikilla YLEn ja kaupallisilla kanavilla sekä televisiossa YLEn, MTV:n ja Nelosen kanavilla keskiviikkona hätänumeropäivänä. Abloyn tehdaspalo kuitenkin osoitti, että kaikki eivät pidä systeemiä yksiselitteisen hyvänä.
Taloussanomat
- Vihdoinkin, Kreikka: Sopu säästöistä syntyi 16:11
- "Finnair hakee kumppania suuresta joukosta yhtiöitä" 14:43
- Tänne tulevat uudet Prismat 14:48
- EKP ei koskenut korkoon 14:45
- Tätäkö keskusta pelkää – turhaan vai? 15:47
- Tasan vuosi – euribor laski taas 1,70 prosenttiin 12:33
- Asunnon ostaja, älä luule – yritä selvittää 06:01
- 8 syytä, miksi Google tai Apple ei ikinä palkkaa sinua 14:27
- Sampo Pankin tulos heikkeni hieman 12:28
- M-realin ja Metsäliiton nimet muuttuvat 10:20
- » Taloussanomat.fi
Kommentit (7)
Joten, juttu on enemmän että MS:stä uutisarvoa ei ilmeisesti löydä muut kuin negatiiviset uutiset?
http://www.defcon.org
media and archive sivuilla yleensä vanhempia esityksiä.
google: blackhat 2007
Esim. Linuxin kerneliä on stressitestattu vastaavalla työkalulla jo vuodesta miekka ja kilpi, eli ajettu silkkaa puppu-koodia ja katsottu että kaatuuko vain ohjelma (kuten pitäisi) vai hajoaako jotain ihan oikeastikin (kuten ei pitäisi). Sillä tekniikalla saadaan vielä tänäkin päivänä yllättävän paljon virheitä kiinni, sekä regressioita että uusia.
Todennäköisesti kaikki käyttöjärjestelmät testataan samoilla tavoin (BSD:t, Windowsit, QNX, jne)