Nieuws

Hackers vinden ernstig JavaScript lek in Firefox

maandag 2 oktober 2006, 11:20 door Redactie, 10 reacties

Twee hackers hebben dit weekend tijdens de Toorcon beveiligingsonferentie een ernstig beveiligingslek in Firefox gedemonstreerd waardoor een aanvaller het systeem kan overnemen. Het probleem wordt veroorzaakt door de manier waarop de open-source browser JavaScript verwerkt, en is mogelijk niet te verhelpen.

Volgens Mischa Spiegelmock en Andrew Wbeelsoi is het lek aanwezig in de Windows, Linux en Mac OS X versies van Firefox. "Iedereen weet dat Internet Explorer niet echt veilig is. Maar ook Firefox is onveilig" aldus Spiegelmock, die verder liet weten dat de JavaScript implementatie een zooitje is "Het is onmogelijk om te patchen".

Mozilla beveiligingschef Window Snyder denkt dat het hier om een echt beveiligingslek gaat. "Wat ze beschrijven is mogelijk een variatie van een oude aanval. We gaan het onderzoeken".

Snyder is niet blij met de manier waarop de twee onderzoekers het lek bekend gemaakt hebben. "Het lijkt erop dat ze genoeg informatie in hun demonstratie lieten zien zodat een aanvaller de exploit kan herproduceren. Ik denk dat gebruikers hier risico door lopen, maar dat lijkt hun doel te zijn". Aan de hand van de demonstratie heeft men ook weer voldoende informatie om het lek te dichten.

Nog 30 ongepatchte lekken in Firefox
De onderzoekers laten verder weten dat men nog 30 ongepatchte lekken in de browser heeft gevonden, maar ze niet bekend zullen maken. Een werknemer van Mozilla probeerde het tweetal nog over te halen om ze voor 500 dollar per stuk te verkopen, maar daar moesten de twee hackers om lachen "Het is een zwaard dat aan twee kanten snijdt, maar wat we doen is in het belang van het internet. We maken een communicatienetwerk voor black hats" zei Wbeelsoi.

KLM strafbaar wegens verstrekken passagiersgegevens aan VS

Scriptkiddie hackt website "pedopartij"

Reacties (10)

02-10-2006, 11:37 door Anoniem

Zijn het nu hackers of onderzoekers? Zo te lezen is de term onderzoekers
teveel eer.

02-10-2006, 11:44 door Anoniem

Dit zijn geen onderzoekers, maar black hats. Idioten, simpel gezegd. Dit
heeft alleen met eigen gewin te maken en niet met het belang van het
internet.

02-10-2006, 12:13 door SirDice

"It is a double-edged sword, but what we're doing is
really for the greater good of the Internet, we're setting
up communication networks for black hats," Wbeelsoi
said.

Contradictio in terminus?

02-10-2006, 12:36 door beamer

Het leuke van firefox blijft dat je volledige controle over
de browser hebt, Ik gebruik zelf de NoScript extensie
en schakel Javascript alleen in voor sites die ik ken en
vertrouw.
https://addons.mozilla.org/firefox/722/

02-10-2006, 13:52 door Anoniem

Door beamer
Het leuke van firefox blijft dat je volledige controle over
de browser hebt, Ik gebruik zelf de NoScript extensie
en schakel Javascript alleen in voor sites die ik ken en
vertrouw.
https://addons.mozilla.org/firefox/722/

Dat is nou ook het leuke aan IE.
Niet vertrouwde websites draai je in de Restricted sites zone ipv. Internet
zone.

02-10-2006, 23:32 door Anoniem

Door Anoniem
Dit zijn geen onderzoekers, maar black hats. Idioten, simpel
gezegd. Dit
heeft alleen met eigen gewin te maken en niet met het belang
van het
internet.

HaHa, Black Hats hebben het altijd nog een stuk beter voor
met het internet dan Corporate WhiteHats, die alleen maar
aan geld denken. Ze hebben misschien niet het beste voor met
het internet wat jij bedoelt, het internet waar iedereen zo
maar op kan, zonder er enig verstand van te hebben. Black
Hats willen het internet weer terug zoals het was, en hebben
een enorme hekel aan al die mensen die alleen maar op
internet zitten om te "msn'en" en weet ik het.

03-10-2006, 10:53 door Anoniem

Door Anoniem
Dit zijn geen onderzoekers, maar black hats. Idioten, simpel gezegd. Dit
heeft alleen met eigen gewin te maken en niet met het belang van het
internet.

per stuk 500 dollar voor 30 lekken? die ze weigeren?
een demonstratie van de ergste?

dit is geen eigen gewin ze maken gewoon mozilla belachelijk...
laat ze gaan ze doen het goed ^^

03-10-2006, 12:55 door Anoniem

Bedankt ! Goeie tip,dat wist ik nog niet, ik begon al te
twijfelen om dan maar Opera te gebruiken.maar dat hoeft dus
niet.

03-10-2006, 15:50 door drgladius

Dit is een hoax. Ze wilden grappig doen.

03-10-2006, 16:09 door Anoniem

Door drgladius
Dit is een hoax. Ze wilden grappig doen.

idd zie het volgende bericht:
http://www.nu.nl/news/839894/50/Hacker_ontkent_ernstig_lek_in_Firefox.html

Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Bitcoin:

Vacature

Junior DevOps Engineer

Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?

Lees meer

Vacature

Cybersecurity Trainer / Streamer

Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.

Lees meer

Ik moet ineens mijn portret in mijn Office 365 account stoppen, mag dat?

13-11-2024 door Arnoud Engelfriet

Juridische vraag: Ik werk in de publieke sector bij een organisatie die tussen 500-1000 medewerkers heeft. Vandaag werden wij ...

33 reacties

Lees meer