Nieuws

Mozilla: Full-disclosure Firefox lekken pijnlijk, maar nodig

maandag 26 februari 2007, 11:25 door Redactie, 16 reacties

Dit weekend dichtte Mozilla zeven beveiligingslekken in haar open source browser Firefox. Oorspronkelijk had de update eerder moeten verschijnen, maar vanwege het werk van beveiligingsonderzoeker Michal Zalewski die wekelijks nieuwe lekken in de browser vindt, besloot men die eerst te verhelpen.

Op de avond voor de release van de patch was het echter weer Zalewski die een nieuw ernstig lek in de browser ontdekte, waardoor een aanvaller het systeem zou kunnen overnemen. De Poolse onderzoeker maakt zijn ontdekkingen meteen aan het publiek bekend, zonder Mozilla in te lichten.

Hoewel Mozilla liever ziet dat Zalewski en andere onderzoekers eerst de browserbouwer inlichten, is de ontwikkelaar wel afhankelijk van deze experts om klanten tegen aanvallen te beschermen, hoe pijnlijk full-disclosure soms is.

"We hebben liever dat hij ons eerst inlicht, maar het is belangrijker dat we blij zijn met onderzoekers die Firefox controleren en ons helpen bij het verhelpen van problemen. We weten waar onderzoekers mee te maken hebben, als het gaat om frustratie en de hoeveeltijd die vendors nemen om lekken te dichten" zegt Mozilla's CSO Window Snyder. Snyder hoopt dat, als Mozilla sneller wordt in het patchen van lekken, onderzoekers ook beter met de nonprofit organisatie zullen samenwerken.

Onderzoeker keert rootkits binnenstebuiten

Windows geldautomaat "gepwned" door hackers

Reacties (16)

26-02-2007, 11:30 door koekblik

Wat een goede reactie van Mozilla!

26-02-2007, 11:44 door Anoniem

Door koekblik
Wat een goede reactie van Mozilla!

Nee. Juist niet. Dit geeft een verkeerd signaal af. Dit is hetzelfde wanneer
je inbrekers aanmoedigd om vulnerabilities in je voordeur te vinden.

26-02-2007, 11:59 door [Account Verwijderd]

[Verwijderd]

26-02-2007, 12:05 door Anoniem

Heel erg goede reactie, hij kan ze ook gewoon 0day houden....

26-02-2007, 12:17 door koekblik

Door Anoniem
Dit geeft een verkeerd signaal af. Dit is hetzelfde wanneer
je inbrekers aanmoedigd om vulnerabilities in je
voordeur te vinden.

Het gaat niet om het aanmoedigen van inbrekers, het gaat om
het aanmoedigen van voordeurbeveiligingspecialisten.

26-02-2007, 12:18 door Anoniem

Op dit moment is browser security the hotest isseu op het internet, En
bijde Mozilla en MS claimen een veiligere browser te hebben. Dus dan
moeten ze niet klagen als lekken per direct publiek worden gemaakt.

26-02-2007, 12:25 door Anoniem

Door koekblik

Door Anoniem
Dit geeft een verkeerd signaal af. Dit is hetzelfde wanneer
je inbrekers aanmoedigd om vulnerabilities in je
voordeur te vinden.

Het gaat niet om het aanmoedigen van inbrekers, het gaat om
het aanmoedigen van voordeurbeveiligingspecialisten.

En de voordeurbeveiligingspecialisten moeten het gevonden lek dan maar
direct op het internet publiceren?

volgens mij weet de gemiddelde voordeurbeveiligingspecialist heel goed
wat de gevolgen van een dergelijke actie zijn.

26-02-2007, 12:25 door Anoniem

Door Clarence322

En dat maakt meteen het verschil: de grote bedrijven zijn
of te log, of teveel gefocussed op geld....

- deze redenen zijn er met de haren bij gesleept, dus speculatief.
- Mozilla kon niet anders reageren.
- het zal niet lang meer duren of deze ambitieuze Zalewski zal niet alleen
lekken openbaar maken, maar er ook zelf een werkende exploit bijleveren
om een groter effect te bereiken.
- trouwens, hoe ziet het imago van FF van "in het ontwerp meest veilige
browser" er nu uit?

26-02-2007, 12:32 door Anoniem

Door koekblik
Het gaat niet om het aanmoedigen van inbrekers, het gaat om
het aanmoedigen van
voordeurbeveiligingspecialisten.

Een beveiliger heeft
een zekere verantwoordelijkheid ten opzichte van gewone
mensen. Een persoon die een lek publiek maakt zonder eerst
ruimte te bieden om het probleem te verhelpen, wetend van de
potentiële gevolgen die dat kan hebben, lijkt mij geestelijk
niet stabiel. Dat zijn enge mensen.

26-02-2007, 12:39 door Anoniem

Door koekblik

Door Anoniem
Dit geeft een verkeerd signaal af. Dit is hetzelfde wanneer
je inbrekers aanmoedigd om vulnerabilities in je
voordeur te vinden.

Het gaat niet om het aanmoedigen van inbrekers, het gaat om
het aanmoedigen van voordeurbeveiligingspecialisten.

...en vervolgens vertellen die
voordeurbeveiligingspecialisten het de hele wereld
(inclusief het dievengilde dat gretig meeluisterd) waar en
hoe je binnen komt. Het mag dan wel geen aanmoediging zijn,
maar ik vind het wel verwijtbaar dat inbrekers gebruik
kunnen maken van deze informatie terwijl de bewoner hier
geen enkele manier van verdediging tegen heeft.

Stel: Iemand komt er achter dat jouw auto sleutel is te
kopieren. Die vertelt het via het NOS journaal precies wat
je moet doen en geeft een voorbeeld. Je hebt geen afgesloten
garage voor de deur, dus moet hij buiten staan. In je auto
ligt duur gereedschap dat je elke dag nodig hebt. De
fabrikant heeft nog geen oplossing voor dit probleem. Ben je
dan nogsteeds zo blij???

26-02-2007, 12:56 door meneer

Door Anoniem
Ben je dan nogsteeds zo blij???

Even stapje terug. Mozilla geeft aan dat ze het op prijs
stellen als lekken gewoon via het reguliere bugtrack proces
worden aangemeld. Maar Mozilla geeft ook aan dat ze hoe dan
ook blij zijn met elke melding van een lek. Dan kunnen ze
tenminste ook aantonen dat ze in staat zijn lekken te dichten.

Er zijn genoeg voorbeelden van organisaties die mensen die
een lek gevonden hadden aanklaagden wegens overtreding van
allerhande wetten, regels en wat al meer. Dus in die zin is
Mozilla voor ons beter bezig.

Dat die Michal het leuk vindt zichzelf op de borst te slaan,
mwaah. Goed dat ie de lekken vindt, hij mag daar best de
credits voor krijgen. Dat ie vervolgens ons, ff gebruikers,
risico laat lopen vind ik minder. Volgens mij heeft Mozilla
wel aangetoond volwassener te zijn.

26-02-2007, 13:09 door [Account Verwijderd]

[Verwijderd]

26-02-2007, 13:40 door Anoniem

Door Anoniem
- deze redenen zijn er met de haren bij gesleept,
dus speculatief.
- Mozilla kon niet anders reageren.
- het zal niet lang meer duren of deze ambitieuze
Zalewski zal niet alleen
lekken openbaar maken, maar er ook zelf een
werkende exploit bijleveren
om een groter effect te bereiken.
- trouwens, hoe ziet het imago van FF van "in
het ontwerp meest veilige
browser" er nu uit?

Michal Zalewski levert zijn exploits bijna altijd
met een werkende exploit, dat doet hij al jaren.
Voor het effect hoeft hij het niet te doen, daar
is zijn reputatie voldoende voor.

Veel van de exploits die de laatste tijd door
Zalewski zijn gevonden werken zowel op firefox als
op ie of andersom in een of andere vorm. Dat maakt
hem niet uit.

26-02-2007, 13:55 door Anoniem

Door Erwin Blonk
En de beveiliger een geestelijk, instabiel eng mens te
noemen, dat is typisch een reactie van achter het
toetsenbord.

Wellicht, maar let op de context waarin
dat werd geschreven. Ter bescherming van het publiek heeft
een beveiliger een bepaalde verantwoordelijkheid te nemen.
En dat is zeker niet door 'unintended audience' van
informatie te voorzien voordat redelijk de gelegenheid is
gegeven het probleem op te lossen.
Laat ik het afzwakken door de stellen dat met zulk handelen
de werkelijke intentie van de onderzoeker onzeker is.

Laat onverlet dat men blij is met alle input over zaken die
opgelost moeten worden, maar liever op een verantwoorde wijze.

26-02-2007, 14:11 door Anoniem

Door Erwin Blonk

Door Anoniem

Door koekblik
Wat een goede reactie van Mozilla!

Nee. Juist niet. Dit geeft een verkeerd signaal af. Dit is
hetzelfde wanneer
je inbrekers aanmoedigd om vulnerabilities in je
voordeur te vinden.

(het is soms lastig dicsussieren
als je niet weet tegen welke anoniem je het hebt - ik moet
aannemen dat deze dezelfde is als degene van de reacties om
12:25 en 12:32)

Het gaat om de inhoud van berichten,
maar is mijn benadering in deze wellicht te abstract.
Anonieme berichten kunnen van verschillende personen
afkomstig zijn, zoals in dit geval.

26-02-2007, 17:33 door Anoniem

Door Anoniem

Door koekblik

Door Anoniem
Dit geeft een verkeerd signaal af. Dit is hetzelfde wanneer
je inbrekers aanmoedigd om vulnerabilities in je
voordeur te vinden.

Het gaat niet om het aanmoedigen van inbrekers, het gaat om
het aanmoedigen van voordeurbeveiligingspecialisten.

En de voordeurbeveiligingspecialisten moeten het gevonden
lek dan maar
direct op het internet publiceren?

volgens mij weet de gemiddelde voordeurbeveiligingspecialist
heel goed
wat de gevolgen van een dergelijke actie zijn.

Was er een tijdje terug niet over iets van lockpicking or
keybumping op dat gebied ? Volgens mij staat er gewoon op
internet hoe dat moet, maar m'n voordeur is er niet
onveiliger van geworden.

Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Pick one:

Advertentie

Specialiseer je in Forensisch ICT

Online informatieavond 19 november

Wil jij je specialiseren in digitaal forensisch onderzoek? Je kennis verbreden en tech-nische vaardigheden ontwikkelen? Ontdek de cursus- en opleidingsmogelijkheden van Hogeschool Leiden:

Bachelor Informatica Forensisch ICT (deeltijd)
Master Digital Forensics (vol- en deeltijd)
Module Mobile Forensics
Module Data Analytics

Interesse? Meld je aan!

Lees meer

Vacature

Cybersecurity Trainer / Streamer

Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.

Lees meer

Ik moet ineens mijn portret in mijn Office 365 account stoppen, mag dat?

13-11-2024 door Arnoud Engelfriet

Juridische vraag: Ik werk in de publieke sector bij een organisatie die tussen 500-1000 medewerkers heeft. Vandaag werden wij ...

31 reacties

Lees meer