Ernstig zero-day lek in Firefox ontdekt *update*
Beveiligingsonderzoekers hebben een ernstig lek in de open source browser Mozilla ontdekt waar nog geen patch voor is. Via de kwetsbaarheid kan een aanvaller, als de gebruiker een kwaadaardige pagina bezoekt, het systeem overnemen.
Het probleem wordt veroorzaakt door de manier waarop Firefox SVG comments objecten verwerkt. Als de browser toch probeert om SVG comments aan elementen van andere documenten toe te voegen, raakt het geheugen corrupt en kan er willekeurige code worden uitgevoerd.
Zoals gezegd heeft de Mozilla Foundation nog geen patch uitgebracht, maar raadt het aan om JavaScript uit te schakelen tot er een update beschikbaar is.
Update 10:19
De Mozilla Foundation heeft inmiddels nieuwe versies uitgebracht voor zowel Firefox 1.5.x en 2.x, zoals in dit artikel gemeld.
Het kwaad is al geschied, en nu moet men nog het middel
maken waarmee men de put dempt. Waar gaat het heen met deze
digitale wereld, je zou spontaan digitaal-pleinvrees
krijgen. Iederekeer die agorafobie die je blokkeerd om het
internet op te gaan.
http://www.mozilla.org/security/announce/2006/mfsa2006-73.html beetje slordig van
security.nl
http://www.mozilla.org/security/announce/2006/mfsa2006-73.html of deze http://secunia.com/advisories/23282/
bekijk dan is het in 2.0.0.1 opgelost, of lees ik 't verkeerd? Maw, dan is er toch een patch?
pagina precies instellen welke domeinen (vaak meer op 1 pagina) wel en
geen java-script mogen uitvoeren.
Om 09:16 wordt het lek gemeld, om 10:19 wordt de patch
gemeld, in iets meer dan een uur tijd. ;-)
Dit lek is al gepatched in de update die vanacht aangeboden is zie http://
http://www.mozilla.org/security/announce/2006/mfsa2006-73.html
beetje slordig van
security.nl
niet nog een nieuwe patch beschikbaar is zeker.
Dit lijkt me zeker wel de moeite van het vermelden waard alsmede dat het
al opgelost is middels een patchje.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
