image

Microsoft en Mozilla ruziën over lekke browser

woensdag 11 juli 2007, 11:42 door Redactie, 25 reacties

Het door Thor Larholm ontdekte beveiligingslek is volgens Microsoft een Firefox probleem, terwijl Mozilla laat weten dat Internet Explorer de fout in gaat. Het probleem doet zich voor bij gebruikers die met Internet Explorer surfen, maar ook Firefox hebben geïnstalleerd. Door de IE gebruiker naar een kwaadaardige site te lokken, kan er dan via Firefox code op het systeem worden uitgevoerd.

Mozilla's Window Snyder laat weten dat het probleem zich alleen voordoet bij mensen die met Internet Explorer surfen. "Het is belangrijk om te weten dat als je Firefox gebruikt om het web te surfen, je niet voor deze aanval kwetsbaar bent. Daarom raden we mensen aan om Firefox te gebruiken, en zoals altijd voorzichtig te zijn bij het bezoeken van onbekende websites."

Microsoft's Jesper Johansson zet de tegenaanval in. "Firefox faalt in het valideren van de parameters, en een oplossing moet dan ook van Mozilla, en niet van Microsoft komen." Mozilla liet al weten het probleem in Firefox 2.0.0.5 te zullen patchen.

Beveiligingsonderzoeker Larholm, die het lek uiteindelijk ontdekte, blijft volhouden dat Internet Explorer de schuldige is omdat het quotes niet "escaped" tijdens het doorsturen van input naar de command line. "Je kunt Firefox niet de schuld gegeven omdat het doet wat het verteld wordt te doen, het enige probleem is dat IE ons meer dingen laat specificeren dan oorspronkelijk de bedoeling was."

Reacties (25)
11-07-2007, 12:07 door Anoniem
"IE's only responsibility is to take the parameters that are
passed to the protocol and pass them on to the protocol
handler, in this case Firefox." vind ik een veel
belangrijkere zin.

Ja, het is ook een verantwoordelijkheid van softwarebouwers
om input te valideren, maar MS doet nu net alsof ze zelf
geen verantwoordelijkheid hebben om een klant veilig te
houden en alles maar moeten doorspelen wat ze tegen komen.
Zo ken ik er ook nog wel een paar.
11-07-2007, 12:09 door [Account Verwijderd]
[Verwijderd]
11-07-2007, 12:18 door Anoniem
"Het is belangrijk om te weten dat als je Firefox gebruikt
om het web te surfen, je niet voor deze aanval kwetsbaar bent."

Ergo; het is wel degelijk een IE probleem
11-07-2007, 12:46 door Anoniem
Door Anoniem
"Het is belangrijk om te weten dat als je Firefox gebruikt
om het web te surfen, je niet voor deze aanval kwetsbaar bent."

Ergo; het is wel degelijk een IE probleem

En als het mogelijk is om via Firefox een kwetsbaarheid in, zeg, notepad
uit te buiten, is dat dan een probleem van notepad of van Firefox?
11-07-2007, 12:46 door Stagiaire
Lijkt me een gecombineerd probleem toch? Alleen firefox is
geen gevaar en alleen IE ook niet zo te lezen.
11-07-2007, 13:49 door Anoniem
Probleem zit duidelijk in MSIE. En dat probleem is deels ontstaan door
Microsoft, omdat ze Netschaap uit de markt wilde drukken, en deels door
de EU omdat die dat op een niet-technische manier wilde oplossen.
Hierdoor kan en moet MSIE te veel kunnen...

Oplossing: verbied de bundeling van MSIE, en laat klanten hiervoor betalen
wat de kostprijs is. Immers, producten mag je niet onder de kostprijs
verkopen ten einde concurenten uit de markt te werpen, niet die halfbakken
oplossing die nu in place is.
11-07-2007, 14:33 door Anoniem
"Oplossing: verbied de bundeling van MSIE, en laat klanten hiervoor
betalen wat de kostprijs is. Immers, producten mag je niet onder de
kostprijs verkopen ten einde concurenten uit de markt te werpen,"

Zo, zo. ondanks dat het off topic is, vind ik deze oproep aan bijvoorbeeld
hardware leveranciers om hun vele miljoenen dollars medewerking aan
open source op te schorten wel een interessante overweging.
Ik neem overigens aan dat Mozilla dan überhaupt niet meer mag bestaan
van je, want gratis software is dan geen optie meer als ze worden
gepositioneerd tegenover reeds bestaande commerciële varianten.
En huppakee, Apple's Safari, met het OS meegeleverde mediaplayers,
Apache webservers, notepad, alles de markt uit.

Zelfs met een zwart/wit televisie kon je in ieder geval nog grijstinten
beleven...
11-07-2007, 14:39 door Anoniem
Firefox-gebruikers hebben geen probleem, alleen de
IE-gebruikers. Dus als MS z'n klanten een dienst wil
bewijzen, lossen ze dit zo snel mogelijk op.
11-07-2007, 15:07 door Mameomowskwooz
Door Anoniem
"Oplossing: verbied de bundeling van MSIE, en laat klanten hiervoor
betalen wat de kostprijs is. Immers, producten mag je niet onder de
kostprijs verkopen ten einde concurenten uit de markt te werpen,"

Zo, zo. ondanks dat het off topic is, vind ik deze oproep aan bijvoorbeeld
hardware leveranciers om hun vele miljoenen dollars medewerking aan
open source op te schorten wel een interessante overweging.
Ik neem overigens aan dat Mozilla dan überhaupt niet meer mag bestaan
van je, want gratis software is dan geen optie meer als ze worden
gepositioneerd tegenover reeds bestaande commerciële varianten.
En huppakee, Apple's Safari, met het OS meegeleverde mediaplayers,
Apache webservers, notepad, alles de markt uit.

Zelfs met een zwart/wit televisie kon je in ieder geval nog grijstinten
beleven...

Agreed,

Maar de dieper liggende oorzaak van het technische probleem zit em er
wel in dat IE te zeer is verweven met 't OS van M$. Dus in zoverre kan ik de
analyse wel volgen, alleen de oplossing is krom.

En ja, M$ heeft altijd gelijk want zij zijn de grootste. Daar heb je je als
Mozilla maar aan te conformeren. Zo werkt 't in de hele maatschappij: De
grootsten, rijksten, sterksten leggen de regels op waar de rest zich aan
heeft te houden. "Fact of Life".
11-07-2007, 15:23 door Anoniem
Door Iceyoung
Bill heeft altijd gelijk ook al heeft hij totaal
niet gelijk.



Dat is met elke baas zo. Eens zei een personeelschef tegen
mij: "de baas heeft altijd gelijk, ook al heeft ie ongelijk"
11-07-2007, 16:45 door Anoniem
Door Peter V. op woensdag 11 juli 2007 15:23

quote:Door Iceyoung
Bill heeft altijd gelijk ook al heeft hij totaal
niet gelijk.

Dat is met elke baas zo. Eens zei een personeelschef tegen
mij: "de baas heeft altijd gelijk, ook al heeft ie
ongelijk"
We weten allemaal hoe dom dit is, welke schade domme bazen
kunnen veroorzaken en toch doen we er niets aan.
11-07-2007, 16:56 door Anoniem
Wie goed heeft gelezen, heeft gezien dat er in de eerste paragraaf
staat ,dat de code word uitgevoerd in FireFox en niet in IE .
Daardoor is IE kwetsbaar ,en vind ik het maar logisch dat FireFox gaat
patchen.
Open source mag er voor mij gerust zijn, maar ze moeten zorgen dat ze
anderen niet schaden , wat niet wil zeggen dat ze slecht zijn.
Het is niet omdat je word gezegt spring in de put ,dat je er ook in gaat
springen al weetje dat je verdrinkt als je niet kan zwemmen !!!!!!!
En dat van dat meer dingen gespecificeerd als de bedoeling was, hebben
ze zelf schuld, hadden ze de deur maar dicht moeten houden.
11-07-2007, 18:57 door Anoniem
[color=red] De nieuwste NOScript extensie voor Firefox kan
deze cross-browser exploits voorkomen. Installeer daarom in de
nieuwste Firefox de extensie NoScript (versie 1.1.6.0.2)

Zie ook:[/color]
http://www.security.nl/forum/i/152356/
http://noscript.net/
11-07-2007, 19:18 door Anoniem
Vreemd verhaal. Ik dacht dat Firefox zo'n goed filter had? Kennelijk niet
dus. En heel erg laf om dan Microsoft daar de schuld van te geven. Wie
geen Firefox gebruikt, wordt ook niet bedreigd. Zo simpel is het.
11-07-2007, 19:20 door Anoniem
Door Peter V.
[color=red] De nieuwste NOScript extensie voor Firefox kan
deze cross-browser exploits voorkomen. Installeer daarom in de
nieuwste Firefox de extensie NoScript (versie 1.1.6.0.2)

Zie ook:[/color]
http://www.security.nl/forum/i/152356/
http://noscript.net/


Je kunt wel van alles uitschakelen, maar dan kun je beter dat andere
flter gebruiken: de uitknop van je computer. Dan ben je pas echt veilig.

Als Firefox alleen bedreigingen kan tegenhouden door van alles uit te
schakelen, kun je ook een brief en een postzegel gaan gebruiken. Dan
heb je ook geen last meer.
11-07-2007, 19:26 door [Account Verwijderd]
Zij-noot: In Vista ben je niet vatbaar voor dit lek dankzij UAC.
12-07-2007, 00:40 door def
dan doen ze toch allebij wat maken in de IE . dan hoeven ze
er ook niet over liggen te bekvechten . wie niet en wie wel
wat moet gaan maken . [wat een gedoe altijd om die
explorer's gaten]
12-07-2007, 08:52 door Anoniem
Door Anoniem
Wie goed heeft gelezen, heeft gezien dat er in de eerste
paragraaf
staat ,dat de code word uitgevoerd in FireFox en niet in IE .
Daardoor is IE kwetsbaar ,en vind ik het maar logisch dat
FireFox gaat
patchen.
Als er door het bezoeken van een website met IE een code
uitgevoerd kan worden die door FF kan opstarten, dan ligt
het probleem bij Microsoft.
Als er lokaal commando kunnen worden uitgevoerd, kunnen er
net zo gemakkelijk ook andere applicaties als FTP.EXE of
CMD.EXE worden opgestart!
Ik zie ook niet waarom kwaadwillenden met FF zouden willen
gaan surfen als hij/zij ook heel Windows naar de hand kunnen
zetten.
Overigens werken, bij mij, de demo's niet vanuit FF.
http://www.xs-sniper.com/sniperscope/IE-Pwns-Firefox.html

Marcel
12-07-2007, 09:11 door Anoniem
Beetje kort door de bocht reacties hier. Secunia legt anders
wel degelijk de schuld bij Firefox.
12-07-2007, 10:44 door Anoniem
Simpele oplossing: Gewoon IE uninstallen...
12-07-2007, 13:02 door Anoniem
Door Donenzone
Zij-noot: In Vista ben je niet vatbaar voor dit lek dankzij
UAC.

En hoe lang duurt het voordat je dat uitzet?
12-07-2007, 13:14 door Anoniem
Door Anoniem
Beetje kort door de bocht reacties hier. Secunia legt anders
wel degelijk de schuld bij Firefox.
Linkje: http://secunia.com/advisories/25984/
12-07-2007, 19:09 door Anoniem
Het probleem ligt bij beide browsers.

Het probleem bij IE is dat de URL niet wordt geescaped bij
het doorsturen naar de commandline. Dit zou volgens de
regels wel moeten. Vergelijk het met PHP en MySQL. Als je in
PHP niet escaped dan kun je je MySQL db open zetten voor SQL
injection. Dan is de PHP applicatie de schuldige, omdat hij
zijn input niet filtert. Daarom vind ik dat de schuld vooral
bij IE ligt.

Ook omdat de URL handler zo'n krachtige functie is, moet de
applicatie die het aanroept de boel filteren. Net zoals
MySQL die krachtige functies heeft, dat de PHP applicatie
dat moet filteren.

Die URL handler is er bij mozilla er trouwens in gezet voor
compatibility voor Windows Vista.

Bij Firefox is dit probleem niet eens een bug. Ja, het
afhandelen van de commandline zou je kunnen zien als een
bug, maar dit vind ik niet helemaal terecht. Aan firefox
wordt namelijk gewoon correcte syntax via de commandline
meegegeven. Het is alleen dat IE het niet kan filteren. Het
echte probleem bij Firefox is in dit geval, dat er via de
-chrome switch, veel te krachtige functies aanwezig zijn,
waardoor je een process kunt starten, via JavaScript. Dan is
het eigenlijk de vraag voor de Mozilla ontwikkelaars, is het
verstandig om die switch uberhaubt toe te laten?

Samengevat: In IE zit de bug. In Firefox een ontwerp
probleem, die overigens geen probleem hoeft te zijn.
13-07-2007, 13:36 door Anoniem
Als fix zou je ook die handler kunnen verwijderen.

Zet dit in firefoxfix.reg:
--------------
Windows Registry Editor Version 5.00

[-HKEY_CLASSES_ROOTFirefoxURL]

[-HKEY_CLASSES_ROOTFirefoxHTML]
---------------

Draai dit onder Administrator rechten. Eh, voila, niet meer
kwetsbaar. En Firefox werkt nog prima.
14-07-2007, 17:15 door Anoniem
Start toch altijd maar weer - ondanks dat ik óók Firefox heb én soms
gebruik - OPERA op...
Euphema
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.