Microsoft en Mozilla ruziën over lekke browser
Het door Thor Larholm ontdekte beveiligingslek is volgens Microsoft een Firefox probleem, terwijl Mozilla laat weten dat Internet Explorer de fout in gaat. Het probleem doet zich voor bij gebruikers die met Internet Explorer surfen, maar ook Firefox hebben geïnstalleerd. Door de IE gebruiker naar een kwaadaardige site te lokken, kan er dan via Firefox code op het systeem worden uitgevoerd.
Mozilla's Window Snyder laat weten dat het probleem zich alleen voordoet bij mensen die met Internet Explorer surfen. "Het is belangrijk om te weten dat als je Firefox gebruikt om het web te surfen, je niet voor deze aanval kwetsbaar bent. Daarom raden we mensen aan om Firefox te gebruiken, en zoals altijd voorzichtig te zijn bij het bezoeken van onbekende websites."
Microsoft's Jesper Johansson zet de tegenaanval in. "Firefox faalt in het valideren van de parameters, en een oplossing moet dan ook van Mozilla, en niet van Microsoft komen." Mozilla liet al weten het probleem in Firefox 2.0.0.5 te zullen patchen.
Beveiligingsonderzoeker Larholm, die het lek uiteindelijk ontdekte, blijft volhouden dat Internet Explorer de schuldige is omdat het quotes niet "escaped" tijdens het doorsturen van input naar de command line. "Je kunt Firefox niet de schuld gegeven omdat het doet wat het verteld wordt te doen, het enige probleem is dat IE ons meer dingen laat specificeren dan oorspronkelijk de bedoeling was."
Reacties (25)
"IE's only responsibility is to take the parameters that are
passed to the protocol and pass them on to the protocol
handler, in this case Firefox." vind ik een veel
belangrijkere zin.
Ja, het is ook een verantwoordelijkheid van softwarebouwers
om input te valideren, maar MS doet nu net alsof ze zelf
geen verantwoordelijkheid hebben om een klant veilig te
houden en alles maar moeten doorspelen wat ze tegen komen.
Zo ken ik er ook nog wel een paar.
passed to the protocol and pass them on to the protocol
handler, in this case Firefox." vind ik een veel
belangrijkere zin.
Ja, het is ook een verantwoordelijkheid van softwarebouwers
om input te valideren, maar MS doet nu net alsof ze zelf
geen verantwoordelijkheid hebben om een klant veilig te
houden en alles maar moeten doorspelen wat ze tegen komen.
Zo ken ik er ook nog wel een paar.
11-07-2007, 12:09 door
[Account Verwijderd]
[Verwijderd]
"Het is belangrijk om te weten dat als je Firefox gebruikt
om het web te surfen, je niet voor deze aanval kwetsbaar bent."
Ergo; het is wel degelijk een IE probleem
om het web te surfen, je niet voor deze aanval kwetsbaar bent."
Ergo; het is wel degelijk een IE probleem
Door Anoniem
"Het is belangrijk om te weten dat als je Firefox gebruikt
om het web te surfen, je niet voor deze aanval kwetsbaar bent."
Ergo; het is wel degelijk een IE probleem
"Het is belangrijk om te weten dat als je Firefox gebruikt
om het web te surfen, je niet voor deze aanval kwetsbaar bent."
Ergo; het is wel degelijk een IE probleem
En als het mogelijk is om via Firefox een kwetsbaarheid in, zeg, notepad
uit te buiten, is dat dan een probleem van notepad of van Firefox?
11-07-2007, 12:46 door
Stagiaire
Lijkt me een gecombineerd probleem toch? Alleen firefox is
geen gevaar en alleen IE ook niet zo te lezen.
geen gevaar en alleen IE ook niet zo te lezen.
Probleem zit duidelijk in MSIE. En dat probleem is deels ontstaan door
Microsoft, omdat ze Netschaap uit de markt wilde drukken, en deels door
de EU omdat die dat op een niet-technische manier wilde oplossen.
Hierdoor kan en moet MSIE te veel kunnen...
Oplossing: verbied de bundeling van MSIE, en laat klanten hiervoor betalen
wat de kostprijs is. Immers, producten mag je niet onder de kostprijs
verkopen ten einde concurenten uit de markt te werpen, niet die halfbakken
oplossing die nu in place is.
Microsoft, omdat ze Netschaap uit de markt wilde drukken, en deels door
de EU omdat die dat op een niet-technische manier wilde oplossen.
Hierdoor kan en moet MSIE te veel kunnen...
Oplossing: verbied de bundeling van MSIE, en laat klanten hiervoor betalen
wat de kostprijs is. Immers, producten mag je niet onder de kostprijs
verkopen ten einde concurenten uit de markt te werpen, niet die halfbakken
oplossing die nu in place is.
"Oplossing: verbied de bundeling van MSIE, en laat klanten hiervoor
betalen wat de kostprijs is. Immers, producten mag je niet onder de
kostprijs verkopen ten einde concurenten uit de markt te werpen,"
Zo, zo. ondanks dat het off topic is, vind ik deze oproep aan bijvoorbeeld
hardware leveranciers om hun vele miljoenen dollars medewerking aan
open source op te schorten wel een interessante overweging.
Ik neem overigens aan dat Mozilla dan überhaupt niet meer mag bestaan
van je, want gratis software is dan geen optie meer als ze worden
gepositioneerd tegenover reeds bestaande commerciële varianten.
En huppakee, Apple's Safari, met het OS meegeleverde mediaplayers,
Apache webservers, notepad, alles de markt uit.
Zelfs met een zwart/wit televisie kon je in ieder geval nog grijstinten
beleven...
betalen wat de kostprijs is. Immers, producten mag je niet onder de
kostprijs verkopen ten einde concurenten uit de markt te werpen,"
Zo, zo. ondanks dat het off topic is, vind ik deze oproep aan bijvoorbeeld
hardware leveranciers om hun vele miljoenen dollars medewerking aan
open source op te schorten wel een interessante overweging.
Ik neem overigens aan dat Mozilla dan überhaupt niet meer mag bestaan
van je, want gratis software is dan geen optie meer als ze worden
gepositioneerd tegenover reeds bestaande commerciële varianten.
En huppakee, Apple's Safari, met het OS meegeleverde mediaplayers,
Apache webservers, notepad, alles de markt uit.
Zelfs met een zwart/wit televisie kon je in ieder geval nog grijstinten
beleven...
Firefox-gebruikers hebben geen probleem, alleen de
IE-gebruikers. Dus als MS z'n klanten een dienst wil
bewijzen, lossen ze dit zo snel mogelijk op.
IE-gebruikers. Dus als MS z'n klanten een dienst wil
bewijzen, lossen ze dit zo snel mogelijk op.
11-07-2007, 15:07 door
Mameomowskwooz
Door Anoniem
"Oplossing: verbied de bundeling van MSIE, en laat klanten hiervoor
betalen wat de kostprijs is. Immers, producten mag je niet onder de
kostprijs verkopen ten einde concurenten uit de markt te werpen,"
Zo, zo. ondanks dat het off topic is, vind ik deze oproep aan bijvoorbeeld
hardware leveranciers om hun vele miljoenen dollars medewerking aan
open source op te schorten wel een interessante overweging.
Ik neem overigens aan dat Mozilla dan überhaupt niet meer mag bestaan
van je, want gratis software is dan geen optie meer als ze worden
gepositioneerd tegenover reeds bestaande commerciële varianten.
En huppakee, Apple's Safari, met het OS meegeleverde mediaplayers,
Apache webservers, notepad, alles de markt uit.
Zelfs met een zwart/wit televisie kon je in ieder geval nog grijstinten
beleven...
"Oplossing: verbied de bundeling van MSIE, en laat klanten hiervoor
betalen wat de kostprijs is. Immers, producten mag je niet onder de
kostprijs verkopen ten einde concurenten uit de markt te werpen,"
Zo, zo. ondanks dat het off topic is, vind ik deze oproep aan bijvoorbeeld
hardware leveranciers om hun vele miljoenen dollars medewerking aan
open source op te schorten wel een interessante overweging.
Ik neem overigens aan dat Mozilla dan überhaupt niet meer mag bestaan
van je, want gratis software is dan geen optie meer als ze worden
gepositioneerd tegenover reeds bestaande commerciële varianten.
En huppakee, Apple's Safari, met het OS meegeleverde mediaplayers,
Apache webservers, notepad, alles de markt uit.
Zelfs met een zwart/wit televisie kon je in ieder geval nog grijstinten
beleven...
Agreed,
Maar de dieper liggende oorzaak van het technische probleem zit em er
wel in dat IE te zeer is verweven met 't OS van M$. Dus in zoverre kan ik de
analyse wel volgen, alleen de oplossing is krom.
En ja, M$ heeft altijd gelijk want zij zijn de grootste. Daar heb je je als
Mozilla maar aan te conformeren. Zo werkt 't in de hele maatschappij: De
grootsten, rijksten, sterksten leggen de regels op waar de rest zich aan
heeft te houden. "Fact of Life".
Door Iceyoung
Bill heeft altijd gelijk ook al heeft hij totaal
niet gelijk.
Bill heeft altijd gelijk ook al heeft hij totaal
niet gelijk.
Dat is met elke baas zo. Eens zei een personeelschef tegen
mij: "de baas heeft altijd gelijk, ook al heeft ie ongelijk"
Door Peter V. op woensdag 11 juli 2007 15:23
quote:Door Iceyoung
Bill heeft altijd gelijk ook al heeft hij totaal
niet gelijk.
Dat is met elke baas zo. Eens zei een personeelschef tegen
mij: "de baas heeft altijd gelijk, ook al heeft ie
ongelijk"
We weten allemaal hoe dom dit is, welke schade domme bazenquote:Door Iceyoung
Bill heeft altijd gelijk ook al heeft hij totaal
niet gelijk.
Dat is met elke baas zo. Eens zei een personeelschef tegen
mij: "de baas heeft altijd gelijk, ook al heeft ie
ongelijk"
kunnen veroorzaken en toch doen we er niets aan.
Wie goed heeft gelezen, heeft gezien dat er in de eerste paragraaf
staat ,dat de code word uitgevoerd in FireFox en niet in IE .
Daardoor is IE kwetsbaar ,en vind ik het maar logisch dat FireFox gaat
patchen.
Open source mag er voor mij gerust zijn, maar ze moeten zorgen dat ze
anderen niet schaden , wat niet wil zeggen dat ze slecht zijn.
Het is niet omdat je word gezegt spring in de put ,dat je er ook in gaat
springen al weetje dat je verdrinkt als je niet kan zwemmen !!!!!!!
En dat van dat meer dingen gespecificeerd als de bedoeling was, hebben
ze zelf schuld, hadden ze de deur maar dicht moeten houden.
staat ,dat de code word uitgevoerd in FireFox en niet in IE .
Daardoor is IE kwetsbaar ,en vind ik het maar logisch dat FireFox gaat
patchen.
Open source mag er voor mij gerust zijn, maar ze moeten zorgen dat ze
anderen niet schaden , wat niet wil zeggen dat ze slecht zijn.
Het is niet omdat je word gezegt spring in de put ,dat je er ook in gaat
springen al weetje dat je verdrinkt als je niet kan zwemmen !!!!!!!
En dat van dat meer dingen gespecificeerd als de bedoeling was, hebben
ze zelf schuld, hadden ze de deur maar dicht moeten houden.
[color=red] De nieuwste NOScript extensie voor Firefox kan
deze cross-browser exploits voorkomen. Installeer daarom in de
nieuwste Firefox de extensie NoScript (versie 1.1.6.0.2)
Zie ook:[/color]
http://www.security.nl/forum/i/152356/
http://noscript.net/
deze cross-browser exploits voorkomen. Installeer daarom in de
nieuwste Firefox de extensie NoScript (versie 1.1.6.0.2)
Zie ook:[/color]
http://www.security.nl/forum/i/152356/
http://noscript.net/
Vreemd verhaal. Ik dacht dat Firefox zo'n goed filter had? Kennelijk niet
dus. En heel erg laf om dan Microsoft daar de schuld van te geven. Wie
geen Firefox gebruikt, wordt ook niet bedreigd. Zo simpel is het.
dus. En heel erg laf om dan Microsoft daar de schuld van te geven. Wie
geen Firefox gebruikt, wordt ook niet bedreigd. Zo simpel is het.
Door Peter V.
[color=red] De nieuwste NOScript extensie voor Firefox kan
deze cross-browser exploits voorkomen. Installeer daarom in de
nieuwste Firefox de extensie NoScript (versie 1.1.6.0.2)
Zie ook:[/color]
http://www.security.nl/forum/i/152356/
http://noscript.net/
[color=red] De nieuwste NOScript extensie voor Firefox kan
deze cross-browser exploits voorkomen. Installeer daarom in de
nieuwste Firefox de extensie NoScript (versie 1.1.6.0.2)
Zie ook:[/color]
http://www.security.nl/forum/i/152356/
http://noscript.net/
Je kunt wel van alles uitschakelen, maar dan kun je beter dat andere
flter gebruiken: de uitknop van je computer. Dan ben je pas echt veilig.
Als Firefox alleen bedreigingen kan tegenhouden door van alles uit te
schakelen, kun je ook een brief en een postzegel gaan gebruiken. Dan
heb je ook geen last meer.
Zij-noot: In Vista ben je niet vatbaar voor dit lek dankzij UAC.
12-07-2007, 00:40 door
def
dan doen ze toch allebij wat maken in de IE . dan hoeven ze
er ook niet over liggen te bekvechten . wie niet en wie wel
wat moet gaan maken . [wat een gedoe altijd om die
explorer's gaten]
er ook niet over liggen te bekvechten . wie niet en wie wel
wat moet gaan maken . [wat een gedoe altijd om die
explorer's gaten]
Door Anoniem
Wie goed heeft gelezen, heeft gezien dat er in de eerste
paragraaf
staat ,dat de code word uitgevoerd in FireFox en niet in IE .
Daardoor is IE kwetsbaar ,en vind ik het maar logisch dat
FireFox gaat
patchen.
Als er door het bezoeken van een website met IE een codeWie goed heeft gelezen, heeft gezien dat er in de eerste
paragraaf
staat ,dat de code word uitgevoerd in FireFox en niet in IE .
Daardoor is IE kwetsbaar ,en vind ik het maar logisch dat
FireFox gaat
patchen.
uitgevoerd kan worden die door FF kan opstarten, dan ligt
het probleem bij Microsoft.
Als er lokaal commando kunnen worden uitgevoerd, kunnen er
net zo gemakkelijk ook andere applicaties als FTP.EXE of
CMD.EXE worden opgestart!
Ik zie ook niet waarom kwaadwillenden met FF zouden willen
gaan surfen als hij/zij ook heel Windows naar de hand kunnen
zetten.
Overigens werken, bij mij, de demo's niet vanuit FF.
http://www.xs-sniper.com/sniperscope/IE-Pwns-Firefox.html
Marcel
Beetje kort door de bocht reacties hier. Secunia legt anders
wel degelijk de schuld bij Firefox.
wel degelijk de schuld bij Firefox.
Door Donenzone
Zij-noot: In Vista ben je niet vatbaar voor dit lek dankzij
UAC.
Zij-noot: In Vista ben je niet vatbaar voor dit lek dankzij
UAC.
En hoe lang duurt het voordat je dat uitzet?
Door Anoniem
Beetje kort door de bocht reacties hier. Secunia legt anders
wel degelijk de schuld bij Firefox.
Linkje: http://secunia.com/advisories/25984/Beetje kort door de bocht reacties hier. Secunia legt anders
wel degelijk de schuld bij Firefox.
Het probleem ligt bij beide browsers.
Het probleem bij IE is dat de URL niet wordt geescaped bij
het doorsturen naar de commandline. Dit zou volgens de
regels wel moeten. Vergelijk het met PHP en MySQL. Als je in
PHP niet escaped dan kun je je MySQL db open zetten voor SQL
injection. Dan is de PHP applicatie de schuldige, omdat hij
zijn input niet filtert. Daarom vind ik dat de schuld vooral
bij IE ligt.
Ook omdat de URL handler zo'n krachtige functie is, moet de
applicatie die het aanroept de boel filteren. Net zoals
MySQL die krachtige functies heeft, dat de PHP applicatie
dat moet filteren.
Die URL handler is er bij mozilla er trouwens in gezet voor
compatibility voor Windows Vista.
Bij Firefox is dit probleem niet eens een bug. Ja, het
afhandelen van de commandline zou je kunnen zien als een
bug, maar dit vind ik niet helemaal terecht. Aan firefox
wordt namelijk gewoon correcte syntax via de commandline
meegegeven. Het is alleen dat IE het niet kan filteren. Het
echte probleem bij Firefox is in dit geval, dat er via de
-chrome switch, veel te krachtige functies aanwezig zijn,
waardoor je een process kunt starten, via JavaScript. Dan is
het eigenlijk de vraag voor de Mozilla ontwikkelaars, is het
verstandig om die switch uberhaubt toe te laten?
Samengevat: In IE zit de bug. In Firefox een ontwerp
probleem, die overigens geen probleem hoeft te zijn.
Het probleem bij IE is dat de URL niet wordt geescaped bij
het doorsturen naar de commandline. Dit zou volgens de
regels wel moeten. Vergelijk het met PHP en MySQL. Als je in
PHP niet escaped dan kun je je MySQL db open zetten voor SQL
injection. Dan is de PHP applicatie de schuldige, omdat hij
zijn input niet filtert. Daarom vind ik dat de schuld vooral
bij IE ligt.
Ook omdat de URL handler zo'n krachtige functie is, moet de
applicatie die het aanroept de boel filteren. Net zoals
MySQL die krachtige functies heeft, dat de PHP applicatie
dat moet filteren.
Die URL handler is er bij mozilla er trouwens in gezet voor
compatibility voor Windows Vista.
Bij Firefox is dit probleem niet eens een bug. Ja, het
afhandelen van de commandline zou je kunnen zien als een
bug, maar dit vind ik niet helemaal terecht. Aan firefox
wordt namelijk gewoon correcte syntax via de commandline
meegegeven. Het is alleen dat IE het niet kan filteren. Het
echte probleem bij Firefox is in dit geval, dat er via de
-chrome switch, veel te krachtige functies aanwezig zijn,
waardoor je een process kunt starten, via JavaScript. Dan is
het eigenlijk de vraag voor de Mozilla ontwikkelaars, is het
verstandig om die switch uberhaubt toe te laten?
Samengevat: In IE zit de bug. In Firefox een ontwerp
probleem, die overigens geen probleem hoeft te zijn.
Als fix zou je ook die handler kunnen verwijderen.
Zet dit in firefoxfix.reg:
--------------
Windows Registry Editor Version 5.00
[-HKEY_CLASSES_ROOTFirefoxURL]
[-HKEY_CLASSES_ROOTFirefoxHTML]
---------------
Draai dit onder Administrator rechten. Eh, voila, niet meer
kwetsbaar. En Firefox werkt nog prima.
Zet dit in firefoxfix.reg:
--------------
Windows Registry Editor Version 5.00
[-HKEY_CLASSES_ROOTFirefoxURL]
[-HKEY_CLASSES_ROOTFirefoxHTML]
---------------
Draai dit onder Administrator rechten. Eh, voila, niet meer
kwetsbaar. En Firefox werkt nog prima.
Reageren
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
