Ben die lekken in FF ook zat aan het worden. Uiteindelijk
niet voor niks met IE gestopt. Opera maar eens proberen.

Beetje ASO om een vul in Firefox na SLECHTS VIER DAGEN te
publiceren, en een soortgelijke in MSIE pas na 6 maanden te
verklappen. Tsssk..

Hoe vaak ga jij nou naar een url van een website als
http://-----------------------------------------------security.nl
?

Er zijn geen foutloze browsers. Maar als je iets met kans op
weinig fouten wilt gebruiken kan ik je lynx
http://lynx.browser.org/ aanraden.

Hmm op het eerste gezicht *lijkt* het meer op een Denial of
Service.

Als ik het voorbeeld iets aanpas door een paar letters voor
of achter de streepjes te gooien crasht firefox (1.5b1) in
ieder geval niet meer (en om te exploiten zal je wel meer
dan streepjes nodig hebben).

Ik geef toe, veel uitgebreider heb ik er niet naar gekeken
en misschien is remote code execution wel mogelijk
(misschien dat 1.06 ook heel anders reageert), maar op dit
moment zie ik nog geen bewijs...

NielsT

Ohw dat type ik regelmatig in mn browser in ;-) Het gaat
denk ik meer erom dat je automatisch geredirect wordt naar
dat soort urls of ze in een iframe terecht komen.

uh ik heb net beta1 geinstalleerd en ik heb totaal geen
problemen met de streepjes site ik krijg gewoon 'Server not
found'

Gelijk heb je, foutloos bestaat niet. Risico-minimalisatie
is de truc.

Als ik die link wil volgen, zegt mijn FF-1.06 dat de site
"could not be found. Please check the name and try
again". Dus niks aan de hand toch? ;-)

Dat komt omdat de url niet klopt probeer maar eens https met
dubbele punt en zonder de slashes gevolgt door een aantal
0xAD karakters. Zodra er zo'n HREF op een pagina staat gaat
het al mis bij het laden van die pagina.

Bovenstaande URL (met al die streepjes) is niet het
probleem. Firefox crashed als in een pagina een URL voorkomt
met daarin 0xAD bytes, oftewel karakters met ASCII waarde
173. In de meeste MS Windows fonts wordt dat een streepje
dat erg veel lijkt op het minteken, maar het gaat om een
ander karakter. Hierboven (op deze security.nl page) staan
alleen URL's met min-teken streepjes.

Verder lijkt er eenvoudige workaround te zijn. Open als URL
om de instellingen van Firefox aan te passen:
about:config

(mocht security.nl deze URL niet goed weergeven, ik bedoel:
about dubbelepunt config
zonder spaties er in, en "dubbelepunt" vervangen door ":")

Scroll naar de regel: network.enableIDN; als de
waarde rechts op "true" staat dubbelklik je op die regel
waardoor deze "false" zal worden. Sluit alle Firefox
vensters. Als je Firefox opnieuw opstart is er geen
ondersteuning meer voor URL's met daarin diakritische
tekens, maar die kom je toch al niet zoveel tegen (als ik me
niet vergis ondersteunt MSIE 6 ze nog geheel niet).

Op een PC'tje dat ik zojuist gebruikt heb om dit te testen
(Win98SE, Firefox 1.05, beide Engelstalig) crashed Firefox
NIET als network.enableIDN "false" is, en WEL als deze
"true" is (d.w.z. door een geldige html pagina vanaf m'n C:
schijf te openen met daarin echte 0xAD karakters in een URL;
Firefox crashed overigens al voordat je op die URL kunt
klikken).

Gezien de uitleg van Tom Ferris op de full-disclosure
maillijst vermoed ik dat deze workaround voor alle andere
OS- en Firefox-versies werkt, maar zeker weten doe ik dat
niet (alles op eigen risico dus).

Erik van Straten

Werkt onder linux met firefox 1.06 en 1.5 beta!
Da's handig :-)

Op https://addons.mozilla.org/messages/307259.html staat
informatie en oplossingen van Mozilla hierover.
De patch bevat dezelfde aanpassing als die Erik van Straten
al eerder hier plaatste.
In elk geval binnen 24 uur dichtgetimmerd.

In mijn klikdrang (tja, Microsoft van vroeger he... next,
next, next, yes, yes,) drukte ik gisteren op zo'n hyperlink
op een 'andere' security site en mijn browser crashte. Een
uurtje of 6 werkt naar een land ergens hier ver van vandaan,
dat wilde ik jullie besparen.