Firefox lek laat aanvallers interne netwerk scannen
De Mozilla stichting heeft een update voor haar open source browser uitgebracht waarin een beveiligingslekje is verholpen. Firefox 1.5.0.11 en 2.0.0.3 verhelpen een probleem waardoor een aanvaller via een website op een speciaal gemaakte FTP server, een poortscan op het netwerk achter de firewall kan uitvoeren. Op zich veroorzaakt dit geen schade, maar de informatie over het interne netwerk is handig voor een aanvaller mochten er andere beveiligingsproblemen op het netwerk zijn, aldus de browserontwikkelaar.
Tevens zijn er verschillende compatibiliteitsproblemen verholpen. Updaten naar de nieuwe versie kan via de automatische update functie van de browser of Mozilla.com.
geen "oplossing"?
Biedt NoScript mij nu de gewenste veiligheid of moet ik toch upgraden?
Biedt NoScript mij nu de gewenste veiligheid of moet ik toch upgraden?
Firefox loopt nu stabiel. Ik wacht eerst de berichten af of het een stabiele
versie is. Nooit zomaar upgraden toch?
Firefox loopt nu stabiel. Ik wacht eerst de berichten af of het een stabiele
versie is. Nooit zomaar upgraden toch?
Eens, maar in dit geval:
"De Mozilla stichting heeft een update voor haar open source browser
uitgebracht waarin een beveiligingslekje is verholpen."
"Tevens zijn er verschillende compatibiliteitsproblemen verholpen."
niet zomaar lijkt mij ;-)
Firefox loopt nu stabiel. Ik wacht eerst de berichten af of
het een stabiele
versie is. Nooit zomaar upgraden toch?
Eens, maar in dit geval:
"De Mozilla stichting heeft een update voor haar open
source browser
uitgebracht waarin een beveiligingslekje is verholpen."
"Tevens zijn er verschillende compatibiliteitsproblemen
verholpen."
niet zomaar lijkt mij ;-)
Ze weten alleen nog geen raad met java 6.0
(foutmelding na upgrade, maar java werkt wel gewoon)
Waar blijft die NoScript commentaar nu? Oh, bied het dit
keer toch
geen "oplossing"?
Er is een update voor Firefox vandaag uitgegeven die het lek
verhelpt. Bovendien kun je geen poortscan voorkomen door een
scriptblokker te gebruiken. Dat zijn twee totaal verschillende dingen.
The FTP protocol includes the PASV (passive) command which is used by Firefox to request an alternate data port. The specification of the FTP protocol allows the server response to include an alternate server address as well, although this is rarely used in practice.
mark(at)bindshell.net reported that a malicious web page hosted on a specially-coded FTP server could use this feature to perform a rudimentary port-scan of machines inside the firewall of the victim. By itself this causes no harm, but information about an internal network may be useful to an attacker should there be other vulnerabilities present on the network.
Mozilla clients will now ignore the alternate server address.
Biedt NoScript mij nu de gewenste veiligheid of moet ik toch
upgraden?
Controleren op updates. Daarop klikken en je krijgt de nieuwste versie.
Firefox loopt nu stabiel. Ik wacht eerst de berichten af of
het een stabiele
versie is. Nooit zomaar upgraden toch?
Eens, maar in dit geval:
"De Mozilla stichting heeft een update voor haar open
source browser
uitgebracht waarin een beveiligingslekje is verholpen."
"Tevens zijn er verschillende compatibiliteitsproblemen
verholpen."
niet zomaar lijkt mij ;-)
Ze weten alleen nog geen raad met java 6.0
(foutmelding na upgrade, maar java werkt wel gewoon)
Daar heb je het al. Ik gebruik ook Java 6.0 (is echt nodig). Ik wil geen
foutmeldingen zien, ook al lijkt het goed te werken.
Firefox loopt nu stabiel. Ik wacht eerst de berichten af of
het een stabiele
versie is. Nooit zomaar upgraden toch?
Eens, maar in dit geval:
"De Mozilla stichting heeft een update voor
haar open
source browser
uitgebracht waarin een beveiligingslekje is
verholpen."
"Tevens zijn er verschillende
compatibiliteitsproblemen
verholpen."
niet zomaar lijkt mij ;-)
Ze weten alleen nog geen raad met java 6.0
(foutmelding na upgrade, maar java werkt wel gewoon)
Daar heb je het al. Ik gebruik ook Java 6.0 (is echt nodig).
Ik wil geen
foutmeldingen zien, ook al lijkt het goed te werken.
Dan doe je maar een clean install ipv een upgrade, krijg jij
die foutmelding niet te zien en werkt het nog steeds hetzelfde
firefox zelf. Ik zie ook niet echt een reden, om niet over
te gaan op een nieuwe update.
Firefox loopt nu stabiel. Ik wacht eerst de berichten af of
het een stabiele
versie is. Nooit zomaar upgraden toch?
Eens, maar in dit geval:
"De Mozilla stichting heeft een update voor
haar open
source browser
uitgebracht waarin een beveiligingslekje is
verholpen."
"Tevens zijn er verschillende
compatibiliteitsproblemen
verholpen."
niet zomaar lijkt mij ;-)
Ze weten alleen nog geen raad met java 6.0
(foutmelding na upgrade, maar java werkt wel gewoon)
Daar heb je het al. Ik gebruik ook Java 6.0 (is echt nodig).
Ik wil geen
foutmeldingen zien, ook al lijkt het goed te werken.
Dan doe je maar een clean install ipv een upgrade, krijg jij
die foutmelding niet te zien en werkt het nog steeds
hetzelfde
Ik gebruik al Java 6.0 sinds het uit is en ik heb absoluut
nog nooit enig probleem gehad met Firefox (ook niet met IE
trouwens).
Waar blijft die NoScript commentaar nu? Oh, bied het dit
keer toch
geen "oplossing"?
(http://bindshell.net/papers/ftppasv/ftp-pasv-poc-v1.0.zip)
downloadt, unzipt en de file "ftp-pasv-demo1.html" opent met
FF zie je een titel: "Javascript FTP PASV Portscanner Demo".
Een en ander staat beschreven in
http://bindshell.net/papers/ftppasv/ftp-client-pasv-manipulation.pdf.
Omdat NoScript standaard alle Javascript blokkeert, behalve
voor sites die ik vertrouw, werkt de exploit niet. Pas nadat
ik JavaScript tijdelijk toesta voor de html-file en de
pagina opnieuw laad, verschijnt een melding dat men de code
moet aanpassen om de exploit te laten werken.
Zo kan je zelf poc's testen :)
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
