image

Drie lekken ontdekt in Firefox 1.0 en Mozilla 1.7.5

dinsdag 8 februari 2005, 08:12 door Redactie, 22 reacties

Security onderzoeker Michael Krax heeft drie lekken in de open source browsers Firefox 1.0 en Mozilla 1.7.5 ontdekt. Krax wilde weten hoeveel moeite het kost om een security lek in Firefox te vinden in vergelijking met Internet Explorer. Hij richtte zich op fouten in de interactie met de gebruiker, net als de "scrollbar bug" in IE die hij vorig jaar augustus publiceerde. Na een paar uur testen had Krax drie lekken gevonden:

  • Firedragging: Hierbij kan er een uitvoerbaar bestand op de desktop geplaatst worden.
  • Firetabbing: Hierbij kunnen cookies gestolen, en nog veel erger, willekeurige code op het systeem worden uitgevoerd.
  • Fireflashing: Hierbij kunnen waardes in about:config worden gewijzigd.
Alle lekken zijn 8 dagen na de bekendmaking van Krax door Mozilla verholpen. Gebruikers kunnen hun eigen "nightly build" compileren of wachten op Firefox 1.0.1.
Reacties (22)
08-02-2005, 08:37 door Anoniem
Filedragging: Hierbij kan er een uitvoerbaar bestand op de
desktop geplaatst worden. <-- dit heeft IE toch ook?

Firetabbing: werkt hier niet op Linux zie ik :P

Fireflashing: Bouw je C schijf maar na met IE mbv ActiveX/Flash
08-02-2005, 09:11 door Anoniem
Je hebt er blijkbaar Java en Flash voor nodig onder Windows
om er ontvankelijk voor te zijn.
08-02-2005, 09:33 door bustersnyvel
8 dagen. Kijk, daar kan Microsoft een puntje aan zuigen. Wat
mij betreft nog 7 dagen te lang, maar goed ;-)
08-02-2005, 09:33 door Anoniem
Ik gebruik geen Java, Flash of Windows. Dat scheelt :) .
08-02-2005, 09:41 door Anoniem
Maar waar is het vergelijk tussen firefox en ie?? Hoe lang duurde het bij IE?
08-02-2005, 09:46 door Anoniem
Jongens van de redactie kijk even op zijn weblog daar staat:
Het kost hem 2 uur om iets te vinden in firefox en ook in ie.
Na het rapporteren aan firefox heeft hij er nooit iets meer van gehoord. Die
fouten staan nu nog open. Volgens mij moet de conclusie zijn: ie of firefox
het maakt niets uit. Kies maar 1 het is toch russische roulette.
08-02-2005, 10:00 door Anoniem
Door Anoniem
Filedragging: Hierbij kan er een uitvoerbaar bestand op de
desktop geplaatst worden. <-- dit heeft IE toch ook?

Firetabbing: werkt hier niet op Linux zie ik :P

Fireflashing: Bouw je C schijf maar na met IE mbv ActiveX/Flash
Nee, deze werken niet onder Iexplorer met XP SP2.
08-02-2005, 11:04 door Anoniem
Deze bugs waren ak bekend VOORDAT versie 1.0 uit kwam. Wat een
afgang voor FF zeg.

Daarnaast is er na 3 maanden nog geen enkele reactie van het FF team
geweest. Zie de website van Michael Krax: http://www.mikx.de

FF wordt voornamelijk door thuisgebruikers gebruikt. Zij moeten nu dus
een nieuwe versie compileren, want patchen is niet aan de orde. Een
alternatief is wachten op een nieuwe versie :-). Beste thuisgebruikers:
succes met compileren!
08-02-2005, 11:34 door Anoniem
Door Anoniem
Jongens van de redactie kijk even op zijn weblog daar staat:
Het kost hem 2 uur om iets te vinden in firefox en ook in ie.
Na het rapporteren aan firefox heeft hij er nooit iets meer
van gehoord. Die
fouten staan nu nog open. Volgens mij moet de conclusie
zijn: ie of firefox
het maakt niets uit. Kies maar 1 het is toch russische
roulette.
Zelf nog iets beter lezen. dat is een andere bug dan die
hier genoemd worden (die hij 3 maanden daarna pas ontdekt
heeft). Over die eerste bug heeft hij nooit meer iets
geschreven terwijl er in de tussentijd wel aardig wat
patches zijn verschenen.Of de fouten nu nog open staan is
maar de vraag.
Wat blijft staan is dat ook bij Mozilla het wel eens wat
langer duurt dan gehoopt, maar dat het in 99% van alle
gevallen stukken sneller is met patchen dan concurenten.
08-02-2005, 11:42 door Anoniem
Er zijn ook precompiled nightly builds.

Wordt tijd dat vendors zoals microsoft en mozilla auto
patchers gaan inbouwen.
Dan kan na de 6-12maand die microsoft nodig heeft, en de
paar dagen die het mozilla team doorgaans nodig heeft, de
applicatie zichzelf patchen.

Dit moet toch niet zo moeilijk zijn?
Fix het zo, dat als er echt kritieke updates zijn, je
product dat zelf ophaald. 99,999% van de eindgebruikers doet
het toch niet uit zichzelf.
08-02-2005, 12:08 door Anoniem
Door Anoniem
Door Anoniem
Jongens van de redactie kijk even op zijn weblog daar staat:
Het kost hem 2 uur om iets te vinden in firefox en ook in ie.
Na het rapporteren aan firefox heeft hij er nooit iets meer
van gehoord. Die
fouten staan nu nog open. Volgens mij moet de conclusie
zijn: ie of firefox
het maakt niets uit. Kies maar 1 het is toch russische
roulette.
Zelf nog iets beter lezen. dat is een andere bug dan die
hier genoemd worden (die hij 3 maanden daarna pas ontdekt
heeft). Over die eerste bug heeft hij nooit meer iets
geschreven terwijl er in de tussentijd wel aardig wat
patches zijn verschenen.Of de fouten nu nog open staan is
maar de vraag.
Wat blijft staan is dat ook bij Mozilla het wel eens wat
langer duurt dan gehoopt, maar dat het in 99% van alle
gevallen stukken sneller is met patchen dan concurenten.
Bij M$ duurt het ook wel eens langer dan gehoopt en ook vaak 1 % van de
gevallen. Waarom is iedereen zo lief tegen firefox?
Gewoon reeel zijn: Beiden hebben nadelen.
08-02-2005, 13:04 door Anoniem
Door Anoniem
Deze bugs waren ak bekend VOORDAT versie 1.0 uit kwam. Wat een
afgang voor FF zeg.

Daarnaast is er na 3 maanden nog geen enkele reactie van het
FF team
geweest. Zie de website van Michael Krax:
http://www.mikx.de

FF wordt voornamelijk door thuisgebruikers gebruikt. Zij
moeten nu dus
een nieuwe versie compileren, want patchen is niet aan de
orde. Een
alternatief is wachten op een nieuwe versie :-). Beste
thuisgebruikers:
succes met compileren!

apt-get firefox-1.0.installer.tar.gz
.tar zvxf firefox-1.0.installer.tar.gz
./configure && make && make install

done.

:P
08-02-2005, 13:58 door Anoniem
Door Anoniem
Er zijn ook precompiled nightly builds.

Wordt tijd dat vendors zoals microsoft en mozilla auto
patchers gaan inbouwen.
Dan kan na de 6-12maand die microsoft nodig heeft, en de
paar dagen die het mozilla team doorgaans nodig heeft, de
applicatie zichzelf patchen.

Dit moet toch niet zo moeilijk zijn?
Fix het zo, dat als er echt kritieke updates zijn, je
product dat zelf ophaald. 99,999% van de eindgebruikers doet
het toch niet uit zichzelf.

Op de website staat nog steeds versie 1.0, daar komen toch zoveel
downloads vandaan. Gebruikers moeten dus zelf maar op zoek gaan naar
een door een onbekende gecomplieerde versie? Dat kun je niet serieus
menen.

Daarnaast weet je te vertellen dat Microsoft 6 tot 12 maanden erover doet
om een patch uit te brengen, waar haal je dit vandaan, je roept maar wat.

Tot slot: FF brengt tot op heden nog geen patches uit voor de diverse
lekken, een nieuwe versie is hun oplossing. Geen patch, maar een
upgrade. Niet gebruikersvriendelijk en slecht beheersbaar in zakelijke
omgevingen.
08-02-2005, 14:02 door Anoniem
Door Anoniem
Door Anoniem
Deze bugs waren ak bekend VOORDAT versie 1.0 uit kwam. Wat een
afgang voor FF zeg.

Daarnaast is er na 3 maanden nog geen enkele reactie van het
FF team
geweest. Zie de website van Michael Krax:
http://www.mikx.de

FF wordt voornamelijk door thuisgebruikers gebruikt. Zij
moeten nu dus
een nieuwe versie compileren, want patchen is niet aan de
orde. Een
alternatief is wachten op een nieuwe versie :-). Beste
thuisgebruikers:
succes met compileren!

apt-get firefox-1.0.installer.tar.gz
.tar zvxf firefox-1.0.installer.tar.gz
./configure && make && make install

done.

:P
emerge -Uv mozilla-firefox
of
emerge -v mozilla-firefox-bin voor de binary

Godbless Gentoo :)
08-02-2005, 15:26 door Anoniem
sinds wanneer moeten patches binary zijn? wat een
microsoftisme. groot, onhandig, en afhankelijk van de flags
en het systeem waarop het oorspronkelijk gebouwd is.
08-02-2005, 18:52 door Anoniem
Alle lekken zijn 8 dagen na de bekendmaking van Krax
door Mozilla verholpen. Gebruikers kunnen hun eigen "nightly
build" compileren of wachten op Firefox 1.0.1.

Tja, zo kan ik ook problemen 'oplossen'. Want wat is de
oplossing?
1. Verzin er zelf maar iets op
2. Wacht maar op de nieuwe versie, wanneer die komt is niet
bekend

En dan zijn er hier mensen die deze aanpak prijzen?! Liefde
maakt blind, zegt men hè? De liefde van sommigen voor Firefox
maakt stekeblind, zoveel is duidelijk. Gooi dat rare protectionisme
eens overboord en wees kritisch tov zowel IE als Firefox.
08-02-2005, 19:44 door Anoniem
Door Anoniem
apt-get firefox-1.0.installer.tar.gz
.tar zvxf firefox-1.0.installer.tar.gz
./configure && make && make install

Je haalt een paar dingen door elkaar.
apt-get is een packet manager, waarmee je software kunt
installeren. Bijvoorbeeld met 'apt-get install mozilla-firefox'.
Daarnaast kun je ook de source code downloaden, met tar
uitpakken, daarna met ./configure system variabelen
controleren, met make compileren en met make install
installeren.

Dus als je een beetje interessant probeert te doen, doe het
dan goed :-)
08-02-2005, 20:37 door Anoniem
Door Anoniem
Door Anoniem
apt-get firefox-1.0.installer.tar.gz
.tar zvxf firefox-1.0.installer.tar.gz
./configure && make && make install

Je haalt een paar dingen door elkaar.
apt-get is een packet manager, waarmee je software kunt
installeren. Bijvoorbeeld met 'apt-get install mozilla-firefox'.
Daarnaast kun je ook de source code downloaden, met tar
uitpakken, daarna met ./configure system variabelen
controleren, met make compileren en met make install
installeren.

Dus als je een beetje interessant probeert te doen, doe het
dan goed :-)
Je hoeft voor Windows niks te compileren, voor de nightly
build van Firefox staat er gewoon een exe en zip file.

http://ftp.mozilla.org/pub/mozilla.org/firefox/nightly/latest-trunk/
08-02-2005, 21:04 door Anoniem
Dit blijven toch wel de topics waar we allemaal over kunnen meepraten.
hehe.
08-02-2005, 22:39 door Anoniem
Door Anoniem
Deze bugs waren ak bekend VOORDAT versie 1.0 uit kwam. Wat een
afgang voor FF zeg.

Daarnaast is er na 3 maanden nog geen enkele reactie van het
FF team
geweest. Zie de website van Michael Krax:
http://www.mikx.de

FF wordt voornamelijk door thuisgebruikers gebruikt. Zij
moeten nu dus
een nieuwe versie compileren, want patchen is niet aan de
orde. Een
alternatief is wachten op een nieuwe versie :-). Beste
thuisgebruikers:
succes met compileren!

emerge -p mozilla-firefox

done :)
08-02-2005, 22:40 door Anoniem
Door Anoniem
Door Anoniem
apt-get firefox-1.0.installer.tar.gz
.tar zvxf firefox-1.0.installer.tar.gz
./configure && make && make install

Je haalt een paar dingen door elkaar.
apt-get is een packet manager, waarmee je software kunt
installeren. Bijvoorbeeld met 'apt-get install mozilla-firefox'.
Daarnaast kun je ook de source code downloaden, met tar
uitpakken, daarna met ./configure system variabelen
controleren, met make compileren en met make install
installeren.

Dus als je een beetje interessant probeert te doen, doe het
dan goed :-)

gaaaaaaap :)

emerge -p mozilla-firefox

done :)
10-02-2005, 12:55 door Anoniem
Op dinsdag 08 februari 2005 13:58 schreef Anoniem onder meer:

> Daarnaast weet je te vertellen dat Microsoft 6
> tot 12 maanden erover doet om een patch uit te
> brengen, waar haal je dit vandaan, je roept
> maar wat.

Het was niet ik die dat riep, maar 't is zo te zien wel waar.

http://seclists.org/lists/bugtraq/2005/Feb/0118.html
Bugtraq: Internet Explorer zone spoofing with encoded URLs
The exploit successfully launches an attacker-supplied EXE
program when the victim user visits a web page containing
the exploit.
Microsoft was informed of the problem on February 16th, 2004.

Remote code execution dus, zonder dat de gebruiker iets
hoeft te doen. Patch na (bijna) 1 jaar: MS05-014

Erik van Straten
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.