image

Weer ernstig zero-day lek in Firefox ontdekt *update*

woensdag 6 juni 2007, 10:13 door Redactie, 20 reacties

Wederom is er een zero-day lek in Firefox ontdekt, waardoor in het ergste geval een aanvaller toegang tot bestanden krijgt of willekeurige code kan uitvoeren. De Nederlandse beveiligingsonderzoeker Ronald van den Heetkamp was met de adresbalk aan het spelen toen hij ontdekt dat Firefox kwetsbaar is voor "null byte file type corruption."

Hiermee is het mogelijk om bestanden als een ander bestandstype uit te voeren, en Firefox dit te laten doen, zowel lokaal als remote. "Dit is vrij ernstig," aldus van den Heetkamp. Naast het uitvoeren van code kan het lek ook worden gebruikt voor het uitvoeren van een Denial of Service aanval, activeren van Trojaanse paarden en virussen, Reflective Cross Site Scripting (RXSS) en Cross Site Request Forgeries (CSRF).

Gisteren maakte de Poolse onderzoeker Michal Walewski verschillende kwetsbaarheden in Mozilla's browser bekend. Zo kan een aanvaller via Javascript kwaadaardige code injecteren om toetsaanslagen te monitoren of getoonde content op een website te vervalsen. Het andere probleem zorgt ervoor dat door het omzeilen van bevestigingsvensters, een aanvaller, zonder dat de gebruiker dit weet, bestanden kan downloaden en uitvoeren.

Update 10:20
Op de vraag of de Firefox beveiliging wel zo degelijk is, aangezien het lek spelenderwijs gevonden werd, laat van den Heetkamp tegenover Security.NL weten dat Firefox vrij veilig is, maar dit is iets wat ze gewoon over het hoofd hebben gezien, "en dus fataal."

De onderzoeker heeft, vanwege het gevaar op misbruik, bewust geen exploits online gezet. "Er zijn tal van manieren om dit te misbruiken. De link in mijn artikel is er een van een simpele: Denial Of service om de PoC te bewijzen." De exploit kan ook gebruikt worden door virusschrijvers om virusscanners te omzeilen en daarna "remote" virussen te activeren.

Reacties (20)
06-06-2007, 10:48 door P2
De exploit kan ook gebruikt worden door virusschrijvers om
virusscanners te omzeilen en daarna "remote" virussen te activeren.

moet ik hierbij denken aan een code die uitgevoert word en daarmee de
virusscanner uitschakelt? of aan een dropper?
06-06-2007, 11:00 door Anoniem
Wederom is er een zero-day lek in Firefox ontdekt
Het lijkt er steeds meer op dat deze opensource browser net
zo lek (zo niet lekker) is als Internet Explorer...
06-06-2007, 11:08 door Anoniem
Er wordt weer gesproken over JAVA-SCRIPT, maar als ik het
goed begrijp wat Ronald van den Heetkamp bedoelt, zou dit
beteken dat na installatie van NoScript de exploit niet werkt. De
vorige zero-day werkte ook niet bij Firefox in samenwerking met
Noscript.

Wie probeert dit eens uit?
06-06-2007, 11:18 door Anoniem
ter verklaring; dit is een heel diverse exploit. Mede ook
omdat hier niet eens Javascript aan te pas komt. Het kan
wel, maar het hoeft niet. Lokaal uitgevoerd dan is er geen
Javascript nodig. Het voordeel van Firefox gebruikers die
altijd upgraden: In de laatste versie van Firefox zal het
lastiger zijn remote te misbruiken, maar niet onmogelijk:
deze exploit moet dan ook gezien worden als een springplank
naar een meer geavanceerde exploit. Omdat het in hele
diverse situaties gebruikt kan worden is het vrij gevaarlijk.

Groet,

Ronald van den Heetkamp.
06-06-2007, 11:41 door Anoniem
Hallo Ronald,

Ik neem aan dat je deze exploit gemeld hebt bij Mozilla?
06-06-2007, 11:52 door Anoniem
Door P2
De exploit kan ook gebruikt worden door
virusschrijvers om
virusscanners te omzeilen en daarna "remote"
virussen te activeren.

moet ik hierbij denken aan een code die uitgevoert word en
daarmee de
virusscanner uitschakelt? of aan een dropper?

Wat maakt het uit, er wordt code uitgevoerd...
06-06-2007, 12:25 door Anoniem

laat van den Heetkamp tegenover Security.NL weten dat Firefox vrij veilig is,
maar dit is iets wat ze gewoon over het hoofd hebben gezien, "en dus
fataal."

Ach ja, bij Microsoft zien ze ook wel eens iets door de vingers. Even zonder
cijfertjes vergelijken wie het langst bestaat, wie het meeste aantal lekken
heeft...Microsoft wordt direct afgebrand door iedereen die 2 zinnen kan
typen op het internet. Maar blijkbaar gebeurd dat niet bij andere, bijv.
opensource programmatuur. Bah.
06-06-2007, 13:28 door Anoniem
@Door Anoniem op woensdag 06 juni 2007 12:25

Misschien omdat Firefox geen 399 euro kost. Misschien omdat Mozilla de
afgelopen 5 jaar WEL gewerkt heeft aan hun browser. Misschien omdat dit
soort 0days wel binnen 20 maanden opgelost worden.
06-06-2007, 14:13 door Anoniem
Door Anoniem
Wederom is er een zero-day lek in Firefox ontdekt
Het lijkt er steeds meer op dat deze opensource browser net
zo lek (zo niet lekker) is als Internet Explorer...
Dat is toch niet zo vreemd? Het heeft dezelfde curve als ieder ander
product. Het gebruik stijgt, en dus het aantal exploits.

Hoge bomen vangen veel wind.
06-06-2007, 14:44 door Anoniem
In welke versie is dit geconstateerd?
In versie 2.0.0.4 wordt de source geladen, maar niet uitgevoerd.
06-06-2007, 15:25 door Anoniem
Ik weet wat een zero day exploit is, maar wat is een zero day lek?
06-06-2007, 15:59 door Anoniem

....dat Firefox vrij veilig is, maar dit is iets wat ze gewoon over het hoofd
hebben gezien, "en dus fataal."

Briljante onderzoeker......
06-06-2007, 15:59 door Anoniem
Door Anoniem
Ik weet wat een zero day exploit is, maar wat is een zero day lek?

FireFox.... Lek vanaf de nulde dag.....
06-06-2007, 17:27 door Anoniem
PoC bewijzen, is zoiets als licht verlichten...
07-06-2007, 10:45 door Anoniem
Door Anoniem
@Door Anoniem op woensdag 06 juni 2007 12:25

Misschien omdat Firefox geen 399 euro kost. Misschien omdat Mozilla de
afgelopen 5 jaar WEL gewerkt heeft aan hun browser. Misschien omdat dit
soort 0days wel binnen 20 maanden opgelost worden.

IE is gratis.
07-06-2007, 10:46 door Anoniem
Door Anoniem

....dat Firefox vrij veilig is, maar dit is iets wat ze gewoon over het hoofd
hebben gezien, "en dus fataal."

Briljante onderzoeker......



Maar toch huur ik hem nooit in. Vooral niet na deze uitspraak.
07-06-2007, 11:15 door Anoniem
Die Pool heet Zalewski.
07-06-2007, 16:11 door Anoniem
Door Anoniem
Door Anoniem
@Door Anoniem op woensdag 06 juni 2007 12:25

Misschien omdat Firefox geen 399 euro kost. Misschien omdat
Mozilla de
afgelopen 5 jaar WEL gewerkt heeft aan hun browser.
Misschien omdat dit
soort 0days wel binnen 20 maanden opgelost worden.

IE is gratis.
Oh ja? De laatste keer dat ik keek moest je er een duur
Windows operating system bij kopen.
08-06-2007, 08:20 door Anoniem
Je kunt het ook op een mac draaien.

Maar ik ben het er mee eens: firefox is een gratis product,
terwijl een miljardenbedrijf er langer over doet om tot een
zelfde functionaliteit te komen en dan nog minder veilig ook.
08-06-2007, 10:09 door Anoniem
Door Anoniem
Je kunt het ook op een mac draaien.

Maar ik ben het er mee eens: firefox is een gratis product,
terwijl een miljardenbedrijf er langer over doet om tot een
zelfde functionaliteit te komen en dan nog minder veilig
ook.
Ook mis... IE for Mac will not run on Intel Macs...

Met andere woorden, IE is een Windows-only product, en dus
betaal je voor de ontwikkelkosten van IE via de prijs voor
Windows.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.