PoC exploit voor lek in Firefox 1.5.0.3
Er is een Proof of Concept exploit online verschenen die misbruik maakt van het recent ontdekte lek in Firefox 1.5.0.3. Door het lek kan een aanvaller op een kwetsbaar systeem een Denial of Service veroorzaken. In het geval van de PoC exploit wordt automatisch, zonder enige interactie van de gebruiker, de mail applicatie geopend. Aangezien er meerdere clients worden geopend zal het systeem op den duur niet meer reageren.
Een oplossing is het uitschakelen van het automatisch starten van de e-mail applicatie in Firefox. Om dit te doen moet men in de adresbalk "about:config" typen. Dit laat een lange lijst met allerlei config opties zien. Zoek dan de 'warn-external.mailto' optie en zet die op "false". Een andere optie is het gebruik van de fantastische "NoScript" plugin. Hier kan per pagina worden aangegeven of een pagina scripts mag uitvoeren of niet. Als laatste kan ook JavaScript in het geheel worden uitgeschakeld, maar dit zal in veel gevallen niet praktisch zijn. De exploit kan op deze pagina worden getest (waarschuwing, dit kan je systeem laten hangen!). (ISC)
Met dank aan Peter V. voor het melden van dit nieuws
Zoals beloofd heeft de Mozilla Foundation het "iframe.contentWindow.focus
()" Javascript" lek dat vorige week ontdekt werd gepatcht. Via het lek was
het mogelijk voor een aanvaller om een denial of service te veroorzaken en
de browser te laten crashen. In theorie zou het echter ook mogelijk kunnen
zijn om kwaadaardige code op het systeem te draaien, maar hier zijn geen
voorbeelden van. Versie 1.5.0.3 kan via deze pagina of de update functie
binnen de browser gedownload worden.
Goh, in een (1) week ... op naar versie 1.5.0.4 dan maar weer! Als dit zo
doorgaat hoef je maar 51 keer per jaar een nieuwe versie te downloaden!
Jippie! (he, weer geen nieuwe features...)
Goh, in een (1) week ... op naar versie 1.5.0.4 dan maar
weer! Als dit zo
doorgaat hoef je maar 51 keer per jaar een nieuwe versie
te downloaden!
Jippie! (he, weer geen nieuwe features...)
Zo'n update is maar iets van 700-800 Kb... Dit in
tegenstelling tot de MS updates, die al gauw een paar MB per
stuk zijn. Ook duurt het gemiddeld oneindig maal langer
voordat MS met de patch op de proppen komt.
Zoek dan de 'warn-external.mailto' optie en zet die op "false".
de omschrijving te zien waarschuwd het voor een mailto:
link, iets wat mij best nuttig lijkt.
false. Daarnaast wordt idd de mail app niet meer geopend.
Firefox blijft daarintegen wel zeuren of misschien mail moet
worden opgestart middels een notification scherm.
Oke, je machine blijft het doen, maar probeer firefox maar
eens af te sluiten...
Voor de rest; best leuk al die schermpjes die op je desktop
openen :)
geconfigureerd is beschermt deze plug-in de Firefox
gebruiker voldoende voor deze exploit.
NoScript is hieronder te downloaden:
https://addons.mozilla.org/firefox/722/
Goed configureren doe je als volgt:
1. Na installatie: klik op het icoontje NoScript.
2. klik op opties
3. In het tabblad Algemeen kunnen dan de internetadressen, IP-adressen e.d. worden opgenomen die vertrouwd worden.
4. Vink aan: Allow all sites in bookmarks. Dit zijn de sites die vertrouwd zijn of die jij als vertrouwd hebt aangemerkt.
5. NoScript zal dan voor vetrouwde sites (banksites e.d.) geen scripts blokkeren.
6. Alle sites die je niet in de bookmarks hebt opgenomen worden als niet-vertrouwd gezien. NoScript wordt dan actief en blokkeert Java script.
Goh, in een (1) week ... op naar versie 1.5.0.4 dan maar
weer! Als dit zo
doorgaat hoef je maar 51 keer per jaar een nieuwe versie
te downloaden!
Jippie! (he, weer geen nieuwe features...)
Zo'n update is maar iets van 700-800 Kb... Dit in
tegenstelling tot de MS updates, die al gauw een paar MB per
stuk zijn. Ook duurt het gemiddeld oneindig maal langer
voordat MS met de patch op de proppen komt.
MS mag dan laat zijn met patches, bij FF komt zowat elke week een nieuwe
versie uit. Heel erg verwarrend.
hunters? Ik kan het me bijna niet voorstellen dat de hoeveelheid bugs die
op dit moment gevonden wordt in Firefox in enige verhouding staat tot de
kwaliteit van de software. Eigenlijk is het niet eens echt erg want:
#1 Microsoft krijgt het NOOIT voor elkaar om een WERKENDE patch, die
niet meer kapot maakt dan de vulnerability ooit zou kunnen doen, in een
week af te krijgen.
#2 Firefox wordt sneller nog veel beter/veiliger
AS
Goh, in een (1) week ... op naar versie 1.5.0.4 dan maar
weer! Als dit zo
doorgaat hoef je maar 51 keer per jaar een nieuwe versie
te downloaden!
Jippie! (he, weer geen nieuwe features...)
Zo'n update is maar iets van 700-800 Kb... Dit in
tegenstelling tot de MS updates, die al gauw een paar MB per
stuk zijn. Ook duurt het gemiddeld oneindig maal langer
voordat MS met de patch op de proppen komt.
MS mag dan laat zijn met patches, bij FF komt zowat elke week een nieuwe
versie uit. Heel erg verwarrend.
Exactly my point! " ... one thing's fixed, another falls apart! ... " (uit: Trust Your
Mechanic - Dead Kennedys) Kijk eerst eens even verder dan die ene net
ontdekte "bug" (=slordigheid?) voordat je weer een nieuwe versie
uitbrengt ... misschien is het zelfs wel mogelijk om 2 -foutjes- in een keer
te patchen ... misschien?
'warn-external.mailto' optie en zet die op "false"
juist niet op TRUE staan?
Bij mij staat hij standaard op false en ik heb 'last' van de
exploit.
gebruik NoScript!
vliegen open maar daar blijft het bij.. Geen crash. En hoe
moet dit bruikbaar worden voor kwaadwillenden dan?
Je kan er hoogstens iemand mee lastigvallen maar van een
exploit ala willekeurige code uitvoeren is vooralsnog geen
sprake en het lijkt me zeer sterk dat dat ook het geval kan
zijn.
Ik zou dit zelf eerder in de cosmetic bug /
gecko-parse-fout-omdat-imgtags-nou-eenmaal-automatisch-displayen
categorie plaatsen.
Niet echt boeiend imho.
juiste.
about:config
network.protocol-handler.warn-external.mailto true zetten.
bugtraq al iemand zeggen dat ie een versie had die niet van
javascript afhankelijk was.
'network.protocol-handler.warn-external.mailto' op false zet
(v.1.5.0.3!) zou er iets moeten gebeuren bij het openen van
boven genoemde test-pagina? hehhehheh.. NOP Volgens mij ben
ik toch ergens vergeten te "vertellen" welke e-mail client
er dan wel geopend zou moeten gaan worden... -catch my drift?-
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
