Nieuws
image

Eerste beveiligingslek in Firefox 2

woensdag 1 november 2006, 10:22 door Redactie, 11 reacties

Het eerste beveiligingslek in Firefox 2 is een feit. Op de Bugtraq mailinglist is een advisory voor een denial of service lek in Firefox 1.5.0.7 en Firefox 2.0 verschenen. Het probleem wordt veroozaakt door websites die een "range object" via de "createRange" functie proberen te maken.

In eerste instantie werd er gedacht dat de kwetsbaarheid misbruikt kon worden voor het uitvoeren van willekeurige code, maar dit is nog altijd niet bewezen. Deze proof of concept exploit zorgt er dan ook alleen voor dat de browser crasht.

De National Vulnerability Database heeft meer informatie.

Reacties (11)
01-11-2006, 10:51 door Anoniem
NoScript blijkt weer handig in deze. De tekst 'Good bye
Firefox!' staat netjes in de tab hiernaast, terwijl ik dit
intik! :)
01-11-2006, 11:52 door Anoniem
misschien is het een goed idee voor Mozilla om NoScript te
integreren in versie 3.0 van firefox, dat bespaart toch weer
een hoop mensen een hoop ellende...
01-11-2006, 11:59 door Anoniem
NoScript lijkt mij inderdaad een veilige optie, maar hoe zit
dat dan met websites die gebruik maken van JavaScript zoals
Gmail bijv.? Lijkt mij ook een enorme beperking omdat veel
opties niet werken in de meeste websites.
01-11-2006, 12:47 door Anoniem
Aan "Anoniem" 11.59.

NoScript vormt geen enkele beperking voor websites. Je kan met NoScript
voor elke url apart aangeven of je JavaScript wel - , tijdelijk - of niet toestaat.
Ook kan je aangeven dat voor al je bookmarks JavaScript toegestaan is. En
alles is uiteraard op elk moment weer te wijzigen.
01-11-2006, 13:23 door G-Force
FF 2.0 crashed helemaal nie (txs to NoScript)......By by exploit!

Ergerlijker vind ik deze: http://secunia.com/advisories/22603/
01-11-2006, 14:18 door Anoniem
Als je in FF 1.5.0.7 onder linux het domein altervista.org
(tijdelijk) toestaat, klapt FF er wel uit.
01-11-2006, 14:55 door Anoniem
En Firefox 3.0a1 (Minefield) draait gewoon door, zonder
NoScript te gebruiken.
01-11-2006, 14:57 door G-Force
Door Anoniem
Als je in FF 1.5.0.7 onder linux het domein altervista.org
(tijdelijk) toestaat, klapt FF er wel uit.

Ja dat is wel logisch...je laat immers het script gewoon
lopen....
01-11-2006, 21:42 door Anoniem
Sjongejonge. Gebruik geen IE of schakel ActiveX en scripting uit. IE is
gevaarlijk. Gebruik Firefox.

Ja ja....nu moet je zelfs NoScript gebruiken in Firefox om eenzelfde
resultaat te krijgen als bij IE. Waarom overstappen naar andere bagger?
02-11-2006, 10:19 door Anoniem
Ja ja....nu moet je zelfs NoScript gebruiken in
Firefox om eenzelfde
resultaat te krijgen als bij IE. Waarom overstappen naar
andere bagger?
Ik ben het met deze poster eens. Wanneer je eerst nog
allerlei hulpstukken moet toevoegen aan Firefox, kan je net
zo goed IE gebruiken.
02-11-2006, 11:28 door Anoniem
Door Anoniem
Ja ja....nu moet je zelfs NoScript gebruiken in
Firefox om eenzelfde
resultaat te krijgen als bij IE. Waarom overstappen naar
andere bagger?
Ik ben het met deze poster eens. Wanneer je eerst nog
allerlei hulpstukken moet toevoegen aan Firefox, kan je net
zo goed IE gebruiken.

er is echter wel een verschil tussen DoS en een lek zoals
vaak het geval is in IE. Verder beschermt NoScript tegen
exploits, zelfs als deze nog niet bekend zijn. Dit is wel
anders dan bij IE: elk lek dat gevonden wordt kan ook
misbruikt worden...
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Zoeken
search
Certified Secure