Tuitionet

聲明啟事 └→ 關於「Tuitionet.blogspot.com」的聲明事項 ◎ 謝謝您使用「Tuitionet.blogspot.com」所提供的閱覽服務，「Tuitionet.blogspot.com」提醒您注意下列事項： 1.部分「Tuitionet.blogspot.com」文章透過「ePaper 電子報」等等發行單位所提供之電子報訂閱及自動發送機制，發佈或轉貼「Tuitionet.blogspot.com」內容，該內容都是由各個電子報或訊息提供者所提供，「Tuitionet.blogspot.com」不持有其內容。 2.「Tuitionet.blogspot.com」，不介入讀者與內容提供者之間的任何意識形態問題。 3.各該電子報所表達的意見或言論，不代表「Tuitionet.blogspot.com」的立場。

2007-09-14

圖片：駭客說明如何攻破 Firefox+

---------- Forwarded message ----------
From: Tuitionet <tuitionet@gmail.com>
Date: 2007/9/14 下午 4:43
Subject: 圖片：駭客說明如何攻破 Firefox+
To: Tuitionet-Blogger <tuitionet.post@blogger.com>

http://www.taiwan.cnet.com/news/special/0,2000064597,20110126,00.htm

圖片：駭客說明如何攻破 Firefox

CNET新聞專區：陳奭璁輯　　03/10/2006

Andrew Wbeelsoi（右）與 Mischa Spiegelmock 上週六在 San Diego 的 ToorCon 駭客大會上發表演說。兩位人士以亦正亦邪的方式公布開放原始碼瀏覽器Firefox中的可能漏洞，以及如何加以利用。該漏洞影響Firefox的版本包括 Windows版、Mac OS X版與Linux版。

(Credit: Joris Evers/CNET News.com)

Botnets

一位在Mozilla中負責安全方面的職員Jesse Ruderman（左）後來也登上講台，試圖說服兩位駭客應以負責的態度，循Mozilla的流程來發佈這些漏洞，而非直接訴諸大眾，或用來作惡。這兩位駭客仁兄表示他們已經利用這些漏洞來綁架PC組成一個網路（即所謂的botnets）。

(Credit: Joris Evers/CNET News.com)

企圖

會後，Mozilla的Ruderman加入駭客們的聊天行列，試圖進一步瞭解他們剛剛發佈的漏洞，以及他們的企圖。

(Credit: Joris Evers/CNET News.com)

http://www.taiwan.cnet.com/news/software/0,2000064574,20109907,00.htm

隱形瀏覽器問世可隱藏用戶IP

CNET新聞專區：Matthew Broersma　　25/09/2006

由一群人權擁護者和電腦專家組成的團體Hacktivismo，上週發表一種以Firefox瀏覽器為基礎的隱形瀏覽器Torpark，可隱藏使用者的IP並可直接用USB碟執行。

"Torpark"是攜帶式Firefox的修改版，可直接從USB碟執行代表能在網咖等公用主機使用。Torpark能製造與TOR（The Onion Router）網路的加密連結，使用者便可用連串不同的IP位址上網。

Hacktivismo的聲明指出：「Torpark造成網站每隔幾分鐘看到的IP位址都不一樣，以阻擾偷聽並掩蓋發出請求的來源。」例如，實際位於倫敦的使用者在網站上的位址可能是來自德國某所大學，或其他屬於TOR網路的位址。

Hacktivismo隸屬於另一個具有影響力的團體「死牛教派」（The Cult of the Dead Cow）。開發員表示，這個瀏覽器不同於其他匿名瀏覽器，如Anonymizer 或SecretSurfer，因其完全免費且體積小、可攜帶。

Torpark的預設語言為英語，但也有阿拉伯語、德語、法語和簡體中文版。目前已有其他30種語言可供下載。開發員說，上週Torpark網站只能斷斷續續地開放，因為下載流量實在太大。

但Hacktivismo 警告，瀏覽器會加密資料送往TOR網路，但TOR與目標網站間傳遞的資料並未加密，「因此，使用者不應在未提供安全登入與session的網站上使用個人密碼或帳號名稱。」測試員指出，Torpark session較未變更的瀏覽器略慢。Torpark類似firefox，但會顯示當時使用的IP位址，並有一個重設伺服器連結的選擇鍵。

Torpark從開發到正式發表歷時一年，另一項姊妹軟體Torbird現在也開放下載；該應用程式利用TOR網路收發電郵。（陳智文/譯）

http://www.taiwan.cnet.com/news/software/0,2000064574,20110188,00.htm

駭客撤回Firefox零時差攻擊

CNET新聞專區：Joris Evers　　04/10/2006

日前宣稱已發現Firefox一項嚴重零時差漏洞的駭客突然改口，承認自己從未能利用該漏洞挾持電腦。

上週六（30日），Mischa Spiegelmock與Andrew Wbeelsoi在聖地牙哥舉行的ToorCon會議中表示，Firefox處理JavaScript的方式有嚴重瑕疵，攻擊者只要製作內含惡意 JavaScript程式碼的網頁，就能挾持受害主機。他們也展示部分的攻擊程式。

但Spiegelmock決定撤回之前的說法。在發給Firefox開發協調單位Mozilla的聲明中，Spiegelmock說會中展示的攻擊程式無法完全損害使用該瀏覽器的電腦。他的聲明公佈在Mozilla網站，當中寫道：「除了當機和佔據系統資源外，我從未成功地讓這組程式造成任何傷害，而我絕對沒有用它去挾持任何人的電腦，和執行強制程式碼。」

Spiegelmock表示：「我們發表的主要目的是好玩，我向所有相關的人道歉，希望我已經盡可能地澄清每件事。」至於他們宣稱還知道30個尚未修補的 Firefox漏洞，Spiegelmock完全推給另一位駭客Wbeelsoi：「我沒有未揭露的Firefox漏洞，和我一起發言的人這麼說，而我真的不知道他到底有沒有。」記者尚未聯繫到Wbeelsoi。

Mozilla安全首長Window Snyder 3日表示，他們在ToorCon的發言引起Firefox開發社群騷動，大家利用整個週末調查這個問題。Mozilla的錯誤追蹤網站展示出若干證據。她說：「此刻Mischa正與我們合作，我們很欣慰他決定加入我們，但我們很失望有這麼多人為此忙亂。這是一次昂貴的行動，有鑑於投入的資源，和許多犧牲週末家庭時間的人。」

Snyder說，根據Spiegelmock提供的資料，這個問題仍可能是個嚴重瑕疵，但目前看來像是無害的當機。她表示：「我們有一個潛在問題，但目前，基本上還是可靠度的問題。我們還無法證明程式碼執行。」

Spiegelmock在聲明中寫道，這次的發表包括「一個之前已知的Firefox漏洞。」然而Snyder說，這兩個問題只是類似，但不一樣。她說：「他們發表的是潛在的漏洞。每次碰到當機你都需要完整地調查，以評估是否有任何安全上的影響。我們尚未排除所有選項，所以我們會繼續調查…Firefox 使用者應該保持謹慎，且不要忽略任何事。」

另一位安全專家表示，這個問題只會造成Firefox當機。抓錯專家Tom Ferris表示：「他們發表的只是一個記憶體不足當機錯誤，不是安全漏洞。顯然地，這兩個人只想嚇嚇媒體和ToorCon的與會者。」

Snyder不確定Mozilla是否會就此單獨釋出修補程式，或在未來的版本處理。她說：「現在還不確定，這還需要進一步調查。」（陳智文/譯）