HARD CORE SECURITY LAB

Mozilla zdecydowała się na przyspieszone załatanie krytycznej luki, którą miesiąc temu odkrył rosyjski specjalista ds. bezpieczeństwa. Problem został rozwiązany poprzez wydanie Firefoksa 3.6.2, które to zostało pierwotnie zaplanowane dopiero na 30. marca. Wszyscy użytkownicy popularnej otwartej przeglądarki powinni jak najszybciej zaktualizować swoje oprogramowanie.

Przypomnijmy, że chodzi o krytyczną lukę odnalezioną w przeglądarce internetowej Mozilla Firefox 3.6, w wersji przeznaczonej dla systemów operacyjnych Windows. Evgeny Legerov, rosyjski ekspert ds. bezpieczeństwa oraz założyciel moskiewskiej firmy Intevydis, informował już miesiąc temu o powstaniu nowego exploitu wykorzystującego nieznaną do tej pory lukę. Mimo to, Mozilla potwierdziła obecność luki dopiero kilka dni temu, publikując ostrzeżenie w ramach Mozilla Security Blog. Błąd jest niezwykle poważny i pozwala potencjalnym intruzom na zdalne wykonania dowolnego kodu (nie jest wymagana jakakolwiek interakcja z użytkownikiem przeglądarki) w systemie ofiary, należy więc jak bezzwłocznie dokonać aktualizacji.

Sama luka wynika z możliwości przekroczenia zakresu liczb całkowitych wartości rozmiaru czcionki (przekroczenie zakresu wartości liczby całkowitej powoduje przyjęcie wartości ujemnej), co może spowodować przepełnienie buforu w funkcji dekompresji. Należy podkreślić, że problem ten dotyczy tylko użytkowników przeglądarki serii 3.6, do której wprowadzono mechanizm WOFF.

Przypomnijmy również, że w związku z zagrożeniem, Niemiecki Federalny Urząd ds. Bezpieczeństwa Technologii Informacyjnych (BSI) zalecił, by przynajmniej do czasu wydania przez Mozillę odpowiednich poprawek, internauci korzystali z alternatywnego oprogramowania. Warto zauważyć, że Mozilla zaleciła natomiast wszystkim użytkownikom obawiającym się potencjalnych ataków, zainstalowanie przeglądarki w wersji 3.6.2 Beta. Okazało się jednak, że finalne wydanie wersji 3.6.2 zostało znacznie przyspieszone.

Samo odkrycie błędu, proces ujawniania związanych z nim informacji oraz sposób, w jaki Mozilla starała się potwierdzić jego obecność oraz ostatecznie go naprawić, wzbudziły wiele kontrowersji. Korzystając z okazji, chciałbym przedstawić pogląd na powyższe zagadnienia wyrażony przez Zbigniewa Branieckiego, który w ramach forum serwisu OSnews.pl tak oto wyjaśniał obraną przez Mozillę drogę:

– Licencja pakietu sprzedawanego przez Evgenya zabraniala jego klientom dostarczyc nam informacji ktore moglyby nam ulatwic nam rozwiazanie – Status prawny pakietu byl niejasny i jego zakup przez nas bylby ryzykowny
– W ciagu ostatnich dwoch tygodni udalo nam sie przy wspolpracy z firmami zajmujacymi sie bezpieczenstwem (w tym z secunia) doprowadzic do komunikacji miedzy Evgenyem a Mozilla i w polowie zeszlego tygodnia Evgeny dostarczyl nam informacje w zgodzie z praktyka “responsible disclosure”.
– patch zostal stworzony 6 godzin po ujawnieniu informacji przez autora
– analiza zagrozenia wykazala (liczba i rodzaj klientow ktorym Evgeny sprzedal pakiet, licencja pakietu itp.) ze zagrozenie dla uzytkownikow jest male.
– Poniewaz grozenie bylo male, uznalismy, ze mozemy przetestowac poprawke zanim ja wydamy i dac sobie kilka dni na wlaczenie do 3.6.2 innych rzeczy celujac w planowana date wydania 30 marca.
– W ramach naszej polityki ujawniania informacji o bezpieczenstwie natychmiast wypuscilismy notke na blogu
– Dzis rano, niemiecka organizacja d/s bezpieczenstwa przeczytala nasza notatke na blogu i oglosila, ze Fx3.6 jest niebezpieczny i to co jest tutaj opisane powyzej
– W efekcie zespol d/s bezpieczenstwa w Mozilli uznal, ze Secunia i ta organizacja oceniaja zagrozenie odmiennie od nas, zdecydowalismy sie podniesc poziom ryzyka.
– W ciagu 2 godzin – miedzy 11:00 dzisiaj a 13:00 (czasu PST) zostal przygotowany plan wydania 3.6.2 w dniu dzisiejszym i wszystkie zespoly zajmujace sie wydaniami (QA, bezpieczenstwo, platform team, release team, IT, webdev) przestaly pracowac nad czymkolwiek innym poza koordynacja wydania w dniu dzisiejszym.
– W efekcie za 1 h 20 min (o 8:00pm PST) Fx 3.6.2 zostanie wydany.

Osobiscie uwazam, ze zagrozenie dla uzytkownikow jest bardzo male (exploit dostepny byl dla malej grupy klientow Evgenya z ktorymi sie kontaktowalismy), ale ciesze sie, ze prod. manager Firefoksa (Mike Beltzner) podjal decyzje o przyspieszeniu cyklu.

Ocenę słuszności decyzji Mozilli, w wyniku których użytkownicy Firefoksa 3.6 używali przez ponad miesiąc oprogramowania zawierającego znaną krytyczną lukę, pozostawiam czytelnikom.