Ook lekjes in Firefox en Safari ontdekt
Niet alleen in Internet Explorer, ook in de browsers van Mozilla en Apple zijn lekken gevonden. Het gaat echter om veel minder ernstige kwetsbaarheden als het lek in de browser van Microsoft. Het "rowspan" Attribute" lek in Safari kan door een aanvaller misbruikt worden om een Denial of Service te veroorzaken. Safari heeft een probleem met het verwerken van "td" HTML tags die een grote waarde voor het "rowspan" attribuut hebben.
Dit kan ervoor zorgen dat er grote hoeveelheden processorkracht en geheugen verbruikt worden als een gebruiker een kwaadaardige website bezoekt, waardoor het systeem niet meer reageert. Het lek is aanwezig in versies 2.0.3 (417.9.2) en 1.3.1 (312.3.1), maar ook andere versies zouden kwetsbaar zijn. Als oplossing doet men er verstandig aan om geen onbetrouwbare websites te bezoeken.
Zwakte in Firefox
Ook de nieuwste versie van Firefox, versie 1.5.0.2, blijkt niet waterdicht. Door een fout in het verwerken van onverwachte "contentWindow.focus()" JavaScript calls, kan een aanvaller via een kwaadaardige website de browser laten crashen. Volgens Secunia gaat het hier niet om een lek, maar om een "weakness". Als oplossing raadt men gebruikers aan om JavaScript uit te schakelen als onbetrouwbare websites bezocht worden.
uit te schakelen als onbetrouwbare websites bezocht
worden.
De extensie NoScript downloaden kan ook. Ga naar
Extra>Extensies>meer extensies verkrijgen en zoek NoScript op.
Na het installeren en opnieuw opstarten van Firefox het
icoontje vlak boven de system tray aanklikken. Klik op
opties. In het tabblad Algemeen het hokje aanvinken: Allow
all sites in bookmarks (favorieten). Deze zijn ook meestal
te vertrouwen. Alle andere sites die niet automatisch in
deze lijst staan worden dan in een hogere beveiliging
geplaatst. NoScript zal dan alle Java scripts blokkeren van
onbekende sites.
Volgens Secunia gaat het hier niet om een lek, maar om
een "weakness".
Hmmmm.....
hebben om er uberhaupt in rond te kunnen klikken. (ja dat is
hun eigen schuld, maar toch).
trekken van de PoC (te vinden via
http://seclists.org/lists/bugtraq/2006/Apr/0500.html);
ik heb dit getest onder XPSP2, Win98SE en NT4. D.w.z. er is
geen sprake van een crash of ander vreemd gedrag waar
1.5.0.2 wel last van zou hebben.
Voor mijn gevoel zijn er in de Firefox 1.5 serie een stel
nieuwe security fouten geintroduceerd. Jammer. Desondanks
zie ik zelden exploits voor Firefox "in het wild", dit in
tegenstelling tot voor MSIE - waarmee Firefox in elk geval
statistisch gezien op dit moment een veiliger browser is.
met Firefox 1.5.0.2. Er is wel NoScript en AdBlock
geïnstalleerd. Misschien is het daarom wel zo handig (zoals ik eerder aangaf) dat Firefox gebruikers NoScript downloaden en installeren in de browser. Systeem dat getest is: Windows XP home SP1 en alle patches (Nederlands).
LEK en in het geval van een andere browser een WEAKNESS.
Ik probeer niet om IE te verdedigen, dat lijkt me een zinloze discussie toe,
maar het is wel tekenend voor de manier van verslaggeving.
goed functioneerd.
een lek kan ook misbruikt worden, verschil lijkt me duidelijk
FF. De addons. :-)
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
