image

Firefox lek laat aanvallers interne netwerk scannen

woensdag 21 maart 2007, 09:57 door Redactie, 14 reacties

De Mozilla stichting heeft een update voor haar open source browser uitgebracht waarin een beveiligingslekje is verholpen. Firefox 1.5.0.11 en 2.0.0.3 verhelpen een probleem waardoor een aanvaller via een website op een speciaal gemaakte FTP server, een poortscan op het netwerk achter de firewall kan uitvoeren. Op zich veroorzaakt dit geen schade, maar de informatie over het interne netwerk is handig voor een aanvaller mochten er andere beveiligingsproblemen op het netwerk zijn, aldus de browserontwikkelaar.

Tevens zijn er verschillende compatibiliteitsproblemen verholpen. Updaten naar de nieuwe versie kan via de automatische update functie van de browser of Mozilla.com.

Reacties (14)
21-03-2007, 10:15 door Anoniem
Waar blijft die NoScript commentaar nu? Oh, bied het dit keer toch
geen "oplossing"?
21-03-2007, 10:49 door Anoniem
Biedt NoScript mij nu de gewenste veiligheid of moet ik toch upgraden?
21-03-2007, 11:06 door P2
Door Anoniem
Biedt NoScript mij nu de gewenste veiligheid of moet ik toch upgraden?
waarom zou je niet upgraden/updaten ?
21-03-2007, 11:24 door Anoniem
Door P2
Door Anoniem
Biedt NoScript mij nu de gewenste veiligheid of moet ik toch upgraden?
waarom zou je niet upgraden/updaten ?

Firefox loopt nu stabiel. Ik wacht eerst de berichten af of het een stabiele
versie is. Nooit zomaar upgraden toch?
21-03-2007, 14:30 door P2
Door Anoniem
Firefox loopt nu stabiel. Ik wacht eerst de berichten af of het een stabiele
versie is. Nooit zomaar upgraden toch?

Eens, maar in dit geval:

"De Mozilla stichting heeft een update voor haar open source browser
uitgebracht waarin een beveiligingslekje is verholpen."
"Tevens zijn er verschillende compatibiliteitsproblemen verholpen."

niet zomaar lijkt mij ;-)
21-03-2007, 15:05 door Anoniem
Door P2
Door Anoniem
Firefox loopt nu stabiel. Ik wacht eerst de berichten af of
het een stabiele
versie is. Nooit zomaar upgraden toch?

Eens, maar in dit geval:

"De Mozilla stichting heeft een update voor haar open
source browser
uitgebracht waarin een beveiligingslekje is verholpen."
"Tevens zijn er verschillende compatibiliteitsproblemen
verholpen."

niet zomaar lijkt mij ;-)


Ze weten alleen nog geen raad met java 6.0
(foutmelding na upgrade, maar java werkt wel gewoon)
21-03-2007, 15:08 door G-Force
Door Anoniem
Waar blijft die NoScript commentaar nu? Oh, bied het dit
keer toch
geen "oplossing"?

Er is een update voor Firefox vandaag uitgegeven die het lek
verhelpt. Bovendien kun je geen poortscan voorkomen door een
scriptblokker te gebruiken. Dat zijn twee totaal verschillende dingen.

The FTP protocol includes the PASV (passive) command which is used by Firefox to request an alternate data port. The specification of the FTP protocol allows the server response to include an alternate server address as well, although this is rarely used in practice.

mark(at)bindshell.net reported that a malicious web page hosted on a specially-coded FTP server could use this feature to perform a rudimentary port-scan of machines inside the firewall of the victim. By itself this causes no harm, but information about an internal network may be useful to an attacker should there be other vulnerabilities present on the network.

Mozilla clients will now ignore the alternate server address.
21-03-2007, 15:10 door G-Force
Door Anoniem
Biedt NoScript mij nu de gewenste veiligheid of moet ik toch
upgraden?
Vandaag is er een update uitgegeven. Gewoon gaan naar: Help,
Controleren op updates. Daarop klikken en je krijgt de nieuwste versie.
21-03-2007, 15:29 door Anoniem
Door Anoniem
Door P2
Door Anoniem
Firefox loopt nu stabiel. Ik wacht eerst de berichten af of
het een stabiele
versie is. Nooit zomaar upgraden toch?

Eens, maar in dit geval:

"De Mozilla stichting heeft een update voor haar open
source browser
uitgebracht waarin een beveiligingslekje is verholpen."
"Tevens zijn er verschillende compatibiliteitsproblemen
verholpen."

niet zomaar lijkt mij ;-)


Ze weten alleen nog geen raad met java 6.0
(foutmelding na upgrade, maar java werkt wel gewoon)

Daar heb je het al. Ik gebruik ook Java 6.0 (is echt nodig). Ik wil geen
foutmeldingen zien, ook al lijkt het goed te werken.
21-03-2007, 16:33 door Anoniem
Door Anoniem
Door Anoniem
Door P2
Door Anoniem
Firefox loopt nu stabiel. Ik wacht eerst de berichten af of
het een stabiele
versie is. Nooit zomaar upgraden toch?

Eens, maar in dit geval:

"De Mozilla stichting heeft een update voor
haar open
source browser
uitgebracht waarin een beveiligingslekje is
verholpen."
"Tevens zijn er verschillende
compatibiliteitsproblemen
verholpen."

niet zomaar lijkt mij ;-)


Ze weten alleen nog geen raad met java 6.0
(foutmelding na upgrade, maar java werkt wel gewoon)

Daar heb je het al. Ik gebruik ook Java 6.0 (is echt nodig).
Ik wil geen
foutmeldingen zien, ook al lijkt het goed te werken.

Dan doe je maar een clean install ipv een upgrade, krijg jij
die foutmelding niet te zien en werkt het nog steeds hetzelfde
21-03-2007, 17:02 door pikah
Ik heb de patch ook gekregen via een automatisch update van
firefox zelf. Ik zie ook niet echt een reden, om niet over
te gaan op een nieuwe update.
21-03-2007, 17:48 door Simba
Door Anoniem
Door Anoniem
Door Anoniem
Door P2
Door Anoniem
Firefox loopt nu stabiel. Ik wacht eerst de berichten af of
het een stabiele
versie is. Nooit zomaar upgraden toch?

Eens, maar in dit geval:

"De Mozilla stichting heeft een update voor
haar open
source browser
uitgebracht waarin een beveiligingslekje is
verholpen."
"Tevens zijn er verschillende
compatibiliteitsproblemen
verholpen."

niet zomaar lijkt mij ;-)


Ze weten alleen nog geen raad met java 6.0
(foutmelding na upgrade, maar java werkt wel gewoon)

Daar heb je het al. Ik gebruik ook Java 6.0 (is echt nodig).
Ik wil geen
foutmeldingen zien, ook al lijkt het goed te werken.

Dan doe je maar een clean install ipv een upgrade, krijg jij
die foutmelding niet te zien en werkt het nog steeds
hetzelfde

Ik gebruik al Java 6.0 sinds het uit is en ik heb absoluut
nog nooit enig probleem gehad met Firefox (ook niet met IE
trouwens).
21-03-2007, 22:55 door Anoniem
Door Anoniem
Waar blijft die NoScript commentaar nu? Oh, bied het dit
keer toch
geen "oplossing"?
Jawel hoor. Als je de POC
(http://bindshell.net/papers/ftppasv/ftp-pasv-poc-v1.0.zip)
downloadt, unzipt en de file "ftp-pasv-demo1.html" opent met
FF zie je een titel: "Javascript FTP PASV Portscanner Demo".
Een en ander staat beschreven in
http://bindshell.net/papers/ftppasv/ftp-client-pasv-manipulation.pdf.

Omdat NoScript standaard alle Javascript blokkeert, behalve
voor sites die ik vertrouw, werkt de exploit niet. Pas nadat
ik JavaScript tijdelijk toesta voor de html-file en de
pagina opnieuw laad, verschijnt een melding dat men de code
moet aanpassen om de exploit te laten werken.

Zo kan je zelf poc's testen :)
21-03-2007, 22:56 door Anoniem
Aanvullend over POC: ik gebruik Firefox 2.0.0.1 met NoScript.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.