image

Ernstig zero-day lek in Firefox ontdekt *update*

woensdag 20 december 2006, 09:16 door Redactie, 7 reacties

Beveiligingsonderzoekers hebben een ernstig lek in de open source browser Mozilla ontdekt waar nog geen patch voor is. Via de kwetsbaarheid kan een aanvaller, als de gebruiker een kwaadaardige pagina bezoekt, het systeem overnemen.

Het probleem wordt veroorzaakt door de manier waarop Firefox SVG comments objecten verwerkt. Als de browser toch probeert om SVG comments aan elementen van andere documenten toe te voegen, raakt het geheugen corrupt en kan er willekeurige code worden uitgevoerd.

Zoals gezegd heeft de Mozilla Foundation nog geen patch uitgebracht, maar raadt het aan om JavaScript uit te schakelen tot er een update beschikbaar is.

Update 10:19
De Mozilla Foundation heeft inmiddels nieuwe versies uitgebracht voor zowel Firefox 1.5.x en 2.x, zoals in dit artikel gemeld.

Reacties (7)
20-12-2006, 09:40 door Anoniem
Nou das weer dolletjes hoor,

Het kwaad is al geschied, en nu moet men nog het middel
maken waarmee men de put dempt. Waar gaat het heen met deze
digitale wereld, je zou spontaan digitaal-pleinvrees
krijgen. Iederekeer die agorafobie die je blokkeerd om het
internet op te gaan.
20-12-2006, 09:50 door Anoniem
Dit lek is al gepatched in de update die vanacht aangeboden is zie http://
http://www.mozilla.org/security/announce/2006/mfsa2006-73.html beetje slordig van
security.nl
20-12-2006, 09:51 door Sjeem
Als ik deze link
http://www.mozilla.org/security/announce/2006/mfsa2006-73.html of deze http://secunia.com/advisories/23282/
bekijk dan is het in 2.0.0.1 opgelost, of lees ik 't verkeerd? Maw, dan is er toch een patch?
20-12-2006, 09:51 door Anoniem
De NoScript-plugin is hier wederom erg handig. Je kan per bekeken
pagina precies instellen welke domeinen (vaak meer op 1 pagina) wel en
geen java-script mogen uitvoeren.
20-12-2006, 14:16 door Anoniem
In elk geval is Mozilla er snel bij:
Om 09:16 wordt het lek gemeld, om 10:19 wordt de patch
gemeld, in iets meer dan een uur tijd. ;-)
20-12-2006, 15:30 door Anoniem
Door Anoniem
Dit lek is al gepatched in de update die vanacht aangeboden is zie http://
http://www.mozilla.org/security/announce/2006/mfsa2006-73.html
beetje slordig van
security.nl
Die vannacht aangeboden is...... en iedereen kijkt elke ochtenddirect of er
niet nog een nieuwe patch beschikbaar is zeker.
Dit lijkt me zeker wel de moeite van het vermelden waard alsmede dat het
al opgelost is middels een patchje.
20-12-2006, 15:30 door Anoniem
Inderdaad: gewoon noscript gebruiken!
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.