image

Hackers misbruiken extreem ernstig Firefox-lek

woensdag 27 oktober 2010, 08:53 door Redactie, 33 reacties

Firefox-gebruikers zijn gewaarschuwd voor een extreem ernstig beveiligingslek in de browser dat hackers op dit moment actief misbruiken en waar nog geen patch voor is. Het Noorse anti-virusbedrijf Norman ontdekte een Trojaans paard op de website van de Nobelprijs voor de Vrede, dat zich via een drive-by download verspreidde. Bezoekers met Mozilla's browser werden automatisch met de malware besmet, die aanvallers volledige controle over de machine geeft. De aanval bleek een geheel nieuwe kwetsbaarheid in Firefox 3.5 en 3.6 te misbruiken.

Mozilla heeft het zero-day lek inmiddels bevestigd en zegt dat het van meerdere beveiligingsbedrijven heeft gehoord dat hackers het lek misbruiken. De website voor de Nobelvredesprijs wordt inmiddels door de ingebouwde malwarebescherming van Firefox geblokkeerd, maar het is zeer goed mogelijk dat exploitcode nog op andere websites actief is.

Oplossing
Er wordt inmiddels gewerkt aan een beveiligingsupdate. Tot die tijd krijgen gebruikers het advies om JavaScript in Firefox uit te schakelen of de populaire uitbreiding NoScript te installeren.

Update 18:25
Met dank aan anoniem op deze pagina een uitleg wat er misgaat met de browser en wat de patch, waar Mozilla nu aan werkt, zal verhelpen. Inmiddels is CVE-2010-3765 aan het lek toegekend en zou de bètaversie van Firefox 4 niet kwetsbaar zijn.

Reacties (33)
27-10-2010, 09:08 door Mysterio
Eigenlijk dus een Firefox/JavaScript lek. Long live NoScript!!
27-10-2010, 10:03 door Fulco
Waarschijnlijk zullen ze sneller patchen dan Microsoft??

In afwachting van een Mozilla update.
27-10-2010, 10:07 door Anoniem
Javascript uitschakelen of NoScript adviseren is geen oplossing voor de niet-technische eindgebruiker.
Die wil gewoon kunnen surfen zonder dat soort toestanden en heeft ook niet de kennis om een wel/niet scripts runnen beslissing te kunnen nemen.
27-10-2010, 10:19 door Anoniem
Op ftp://ftp.mozilla.org/pub/firefox/nightly/3.6.12-candidates/ staan de candidates van de gepatchte versie van Firefox 3.6 om getest te worden.
Als je wilt kan je meetesten. ;-)
27-10-2010, 10:37 door Anoniem
Dat zwaar bejubelde Firefox blijkt net zo Gatenkkaas te wezen als IE .Misschien nog wel erger !
27-10-2010, 11:17 door Anoniem
Door Anoniem: Dat zwaar bejubelde Firefox blijkt net zo Gatenkkaas te wezen als IE .Misschien nog wel erger !
Deze tabel zegt genoeg: http://en.wikipedia.org/wiki/Comparison_of_web_browsers#Vulnerabilities
Daarnaast zitter en in IE technologieën zoals ActiveX, .NET en WMP die het aanvalsvlak vertienvoudigen. Deze worden bijna niet gebruikt in websites maar zijn toch standaard actief in IE.
27-10-2010, 11:18 door [Account Verwijderd]
[Verwijderd]
27-10-2010, 11:23 door Anoniem

Tja van sommige dingen moet je natuurlijk gewoon basiskennis hebben. Net zoals bij autorijden bijvoorbeeld. Daar moet je ook wat basiszaken kennen voordat je de weg opgaat. Ja zelfs voordat je de weg op MAG. Zomaar ergens aan beginnen als een kip zonder kop zonder de risico's en hun tegenmaatregelen te kennen is een utopie. Zo werkt het gewoon niet in het leven. Nergens.

Techneut zeker? Die denken nog steeds dat de wereld om hen draait. Nou ik heb nieuws voor je, dat doet ie niet.
Je kunt niet van anderen verwachten dat zij hetzelfde denken als jezelf. De meeste mensen zijn gewoon niet geïnteresseerd en verwachten dat zaken gewoon 'out of the box' werken. Het is juist voor fabrikanten en leveranciers de uitdaging om hierin te faciliteren.
27-10-2010, 11:36 door Anoniem
En dit lek zit er al jaren in.. Lang leve Firefox!
27-10-2010, 12:26 door Silver
Door unbalanced:
Door Anoniem: Javascript uitschakelen of NoScript adviseren is geen oplossing voor de niet-technische eindgebruiker.
Die wil gewoon kunnen surfen zonder dat soort toestanden en heeft ook niet de kennis om een wel/niet scripts runnen beslissing te kunnen nemen.

Tja van sommige dingen moet je natuurlijk gewoon basiskennis hebben. Net zoals bij autorijden bijvoorbeeld. Daar moet je ook wat basiszaken kennen voordat je de weg opgaat. Ja zelfs voordat je de weg op MAG. Zomaar ergens aan beginnen als een kip zonder kop zonder de risico's en hun tegenmaatregelen te kennen is een utopie. Zo werkt het gewoon niet in het leven. Nergens.


Hoewel dat niet onwaar is, vind ik het persoonlijk wat ver gaan om cross-site scripting onder Basiskennis te verstaan.
27-10-2010, 12:37 door Anoniem
Door Silver:
Door unbalanced:
Door Anoniem: Javascript uitschakelen of NoScript adviseren is geen oplossing voor de niet-technische eindgebruiker.
Die wil gewoon kunnen surfen zonder dat soort toestanden en heeft ook niet de kennis om een wel/niet scripts runnen beslissing te kunnen nemen.

Tja van sommige dingen moet je natuurlijk gewoon basiskennis hebben. Net zoals bij autorijden bijvoorbeeld. Daar moet je ook wat basiszaken kennen voordat je de weg opgaat. Ja zelfs voordat je de weg op MAG. Zomaar ergens aan beginnen als een kip zonder kop zonder de risico's en hun tegenmaatregelen te kennen is een utopie. Zo werkt het gewoon niet in het leven. Nergens.


Hoewel dat niet onwaar is, vind ik het persoonlijk wat ver gaan om cross-site scripting onder Basiskennis te verstaan.
XSS? Waar haal je dat vandaan? Het gaat hier toch 'gewoon' om een javascript exploit?
27-10-2010, 12:44 door Anoniem
Misschien is het ook handig om daadwerkelijk de advisory te posten ipv alleen een verhaaltje wat uitlegt hoe erg het allemaal wel niet is: http://www.securityfocus.com/bid/44247/info

Hier zien we niet alleen een PoC exploit (dan weet je tenminste echt hoe het werkt...) maar ook zien we bij 'solution' dat er al voor elke versie op vrijwel elke distro en processor een fix is. Is ook niet heel verwonderlijk, want hoewel security.nl er vandaag pas bij komt is het probleem al sinds 19-10-10 bekent...
27-10-2010, 12:48 door Anoniem
Hier nog even een link waar daadwerkelijk uitgelegd wordt waar de fout in de mozilla sourcecode zit en hoe het werkt:
http://xorl.wordpress.com/2010/10/26/cve-2010-3179-mozilla-firefox-document-write-memory-corruption/

@security.nl: waarom geven jullie dit soort informatie er nooit bij? Zijn jullie onder de indruk dat de security.nl-lezers geen code kunnen lezen of iets dergelijks? We zijn niet allemaal microsoft certified sysadmins...
27-10-2010, 14:05 door [Account Verwijderd]
[Verwijderd]
27-10-2010, 14:08 door Prlzwitsnovski
Door Peter V: Ik begrijp nog steeds niet waarom NoScript niet standaard in Firefox zit.

Dat is omdat NoScript niet gebruiksvriendelijk is.

Wel veilig, daar moet ik je gelijk in geven.
27-10-2010, 14:30 door Anoniem
Noscript is zelfs voor mijn moeder (1930) niet gebruikersonvriendelijk in vergelijk met de ellende van popupvensters en andere shit.
Cross-site scripting? Dat is toch web 2.0 <grijns> zoals deze website met zijn misselijk makende doubleclick en (minder misswelijk, wmbt) googleanalytics.
Wanneer leren we eens GEEN (shout) third party URLs op onze websites toe te laten/te laten zien. Koop gewoon een white label en doe het onder je eigen domein.
27-10-2010, 14:34 door Zipper306
Door Silver:



Hoewel dat niet onwaar is, vind ik het persoonlijk wat ver gaan om cross-site scripting onder Basiskennis te verstaan.
Och we worden niet allemaal "Silver" genoemd.
27-10-2010, 14:34 door Anoniem
Door Anoniem: Javascript uitschakelen of NoScript adviseren is geen oplossing voor de niet-technische eindgebruiker.
Die wil gewoon kunnen surfen zonder dat soort toestanden en heeft ook niet de kennis om een wel/niet scripts runnen beslissing te kunnen nemen.

Kan een technische gebruiker dat wel, dan? Zonder vele uren te verspillen aan het minitieus uitpluizen van alle JavaScriptcode die aan een pagina gekoppeld die niet werkt zonder het in te schakelen, althans. En juist die pagina's slepen bergen code met zich mee. Niet te doen, praktisch gesproken. Als ik een geniaal inzicht mis dat jullie wel hebben hoor ik het graag.
27-10-2010, 14:51 door Zipper306
Door Anoniem: Op ftp://ftp.mozilla.org/pub/firefox/nightly/3.6.12-candidates/ staan de candidates van de gepatchte versie van Firefox 3.6 om getest te worden.
Als je wilt kan je meetesten. ;-)

In Firefox 3.6.12 zit dat lek ook.
27-10-2010, 15:01 door Anoniem
Door Prlzwitsnovski:
Door Peter V: Ik begrijp nog steeds niet waarom NoScript niet standaard in Firefox zit.

Dat is omdat NoScript niet gebruiksvriendelijk is.

Als je bedoelt dat websites een stuk moeilijker bruikbaar tot onbruikbaar zijn zou ik willen beargumenteren dat het niet NoScript maar de website zelf is die gebruikersonvriendelijk is.

Je ziet bijvoorbeeld veel websites waar in plaats van:
<a href="doelpagina.html">linktekst</a>
zoiets staat als:
<a href="#" onclick="functie();">linktekst</a>
De aanroep van functie() zou doelpagina.html oproepen, maar als JavaScript uitstaat blijf je in dezelfde pagina staan. Als die functie al iets doet wat met een gewone hyperlink niet kan, dan had er nog altijd beter dit kunnen staan:
<a href="doelpagina.html" onclick="functie();">linktekst</a>
Dan blijft de website werken zonder JavaScript. Graceful degradation heet dat, een begrip afkomstig uit de bouw van fouttolerante systemen dat prima op websites toepasbaar is. Toen ik het vak leerde vond ik op de website van het World Wide Web consortium zelfs een pagina die die manier van werken aanraadde, de w3-standaards zijn ontworpen met dit in gedachte. Helaas wordt deze benadering vaak erg slecht, of totaal niet, opgepakt door webontwikkelaars.

Als een webontwikkelaar alleen voor de rijkst uitgeruste browsers ontwikkelt dan houdt hij slecht rekening met de bezoeker. Ook als feature-rijke browsers in principe voor iedereen beschikbaar zijn kunnen er nog steeds redenen zijn om niet alle features te willen gebruiken. Wil je iemand die geen JavaScript aan heeft staan meteen niet meer als klant hebben? Zijn advertentieinkomsten de reden? Vraag die advertentieboeren eens hoe het komt dat ze geen plaatje kunnen leveren zonder clientside-logica. Technisch kan dat best, ook wisselende plaatjes op één URL zijn serverside te implementeren. Het is een "wij ons best doen? pas jij je maar aan ons aan"-mentaliteit, zowel bij de adverteerders als de webontwikkelaars. Ik kan er weinig waardering voor opbrengen, het resultaat is gebruiksonvriendelijk.
27-10-2010, 15:31 door Anoniem
Door Anoniem: Dat zwaar bejubelde Firefox blijkt net zo Gatenkkaas te wezen als IE .Misschien nog wel erger !

Maar bij Firefox werd/word je teminste op de hoogte gehouden.
27-10-2010, 16:29 door [Account Verwijderd]
[Verwijderd]
27-10-2010, 16:40 door Anoniem
Ze zullen waarschijnlijk morgen een patch hebben.
27-10-2010, 17:55 door Anoniem
Waarschijnlijk worden de SecurityFocus en xorl links niet bij het artikel genoemd, omdat dit een andere kwetsbaarheid is. Lezen mensen, in de comments van de hierboven gelinkte Mozilla security blog post wordt een CVE nummer genoemd, namelijk CVE-2010-3765. Beide links zijn voor CVE-2010-3179, dat is dus een andere kwetsbaarheid.

Mogelijk is dit de patch (info van de twitter van HD Moore) voor deze 0-day:
http://hg.mozilla.org/mozilla-central/rev/cfb2ad811457
27-10-2010, 19:25 door callie
een aantal mensen zeggen hier .. als je dit niet weet dat... of "ik begrijp niet dat niet iedereen de no script nog niet geinstalled heeft"

dit vind ik allemaal wat te kort door de bocht. Al heb je verstand van zaken dan kun je nog steeds niet de juiste keuze maken
Als een website van nota bene de nobelprijs deze malware verspreid hoe kun je dan ooit bepalen welke website wel en niet betrouwbaar is.. misschien is security.nl wel besmet.. wie zal het zeggen.. en voor sommige sites moet je java echt gebruiken om er te kunnen doen wat je wilt doen. ( youtube bijvoorbeeld.)

Ow gelijk even een complot theorie de chinezen waren niet zo blij met de laatste prijsuitreiking... zouden zij.... :P
27-10-2010, 23:06 door Anoniem
http://www.mozilla.com/en-US/firefox/3.6.12/releasenotes/

Release notes van 3.6.12 kan niet lang meer duren voordat hij officieel wordt vrijgegeven :)
27-10-2010, 23:44 door rob
Zou het niet extreem extreem lek moeten zijn? Pff telegraafkoppen..
28-10-2010, 01:12 door Ivanhoe
Firefox 3.6.12:
http://www.mozilla-europe.org/nl/firefox/
28-10-2010, 04:25 door Anoniem
Patched ! :) (4:24 28-10-2010)
28-10-2010, 08:38 door Silver
Door Zipper306: Door Silver:



Hoewel dat niet onwaar is, vind ik het persoonlijk wat ver gaan om cross-site scripting onder Basiskennis te verstaan.
Och we worden niet allemaal "Silver" genoemd.

Wtf? Iemand die zichzelf Zipper306 noemt valt mij aan op mn loginnaam? Heb je ook nog iets ZINVOLS toe te voegen, vrolijkerd?


On topic: Wie denkt dat je gebruikers het gewenste niveau kan bijbrengen om echt veilig te zijn op internet, moet zich laten nakijken. De gemiddelde gebruiker doet er daadwerkelijk *alles* aan om gedaan te krijgen wat hij/zij wil. Als dat een pagina laden is, klikken ze net zo lang door allerlei foutmeldingen en waarschuwingen heen tot ze er zijn. Lukt het niet? Dan proberen we het toch gewoon nog een keer?

Een aantal mensen hier is *echt* te optimistisch over wat je de gemiddelde gebruiker kunt bijbrengen. They. Just. Don't. Care. Ik heb mensen hun schouders zien ophalen in desinteresse NADAT ik ze liet zien dat ze geinfecteerd waren. Mensen die niet in de beroepsgroep zitten gaan het zich nooit afdoende interesseren en daarom is het juist zo belangrijk dat goed gedrag afgedwongen wordt.
28-10-2010, 10:04 door passer
Door Fulco: Waarschijnlijk zullen ze sneller patchen dan Microsoft??

In afwachting van een Mozilla update.
is al gepatcht: http://security.nl/artikel/34898/1/Mozilla_dicht_extreem_ernstig_Firefox-lek.html
gewoon updaten dus.

gilbert
28-10-2010, 10:04 door passer
Door Fulco: Waarschijnlijk zullen ze sneller patchen dan Microsoft??

In afwachting van een Mozilla update.
is al gepatcht: http://security.nl/artikel/34898/1/Mozilla_dicht_extreem_ernstig_Firefox-lek.html
gewoon updaten dus.

gilbert
28-10-2010, 10:47 door Rene V
Door Anoniem: Dat zwaar bejubelde Firefox blijkt net zo Gatenkkaas te wezen als IE .Misschien nog wel erger !

Het grote verschil zit 'm echter in het patchen. Er was gisteravond al een patch beschikbaar. Wil ik voor IE nog wel eens zien dat het zo snel gepatched wordt.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.