Nieuws

Firefox te hacken via ernstig QuickTime lek

donderdag 13 september 2007, 09:59 door Redactie, 13 reacties

Gebruikers van Firefox die ook QuickTime hebben geïnstalleerd zijn gewaarschuwd voor een jaar oud beveiligingslek in de mediaspeler waardoor een aanvaller de browser en mogelijk zelfs het besturingssysteem kan overnemen. Beveiligingsonderzoeker Petko Petkov demonstreerde al een jaar geleden hoe je een backdoor aan video- en geluidsbestanden kunt toevoegen. Apple patchte één van de kwetsbaarheden, maar negeerde de tweede.

Aangezien niemand wilde luisteren heeft Petkov besloten te demonstreren hoe een aanvaller het lek kan misbruiken. De demonstraties van de onderzoeker laten zien hoe door het openen van een MP3, AVI of MOV bestand, andere programma's geladen kunnen worden. De kwetsbaarheid treft Firefox 2.0.0.6 en de testversie van 3.0, zowel voor Windows als Mac OS. Ook Opera gebruikers lopen risico als ze QuickTime geïnstalleerd hebben. Apple heeft nog niet op het lek gereageerd.

Buitenlandse spionnen hacken Chinese overheid

Rouvoet, NS en Google genomineerd voor Big Brother award

Reacties (13)

13-09-2007, 10:11 door Anoniem

"Redactie": het gaat niet om "de mediaspeler" (een programmaatje dat iets
afspeelt). Het gaat om een multimedia framework, iets dat gebruikt wordt door
programma's om bepaalde functionaliteit te verkrijgen: <http://en.wikipedia.org/
wiki/Multimedia_framework>.

13-09-2007, 11:09 door Anoniem

is dat alleen een probleem met quicktime is samenwerking met firefox of
opera, wel typisch.

13-09-2007, 11:18 door Anoniem

Alleen probleem spelen zich af in de HKEY_CLASSES_ROOT. Daar
vind nog eens op mijn pc een etnische zuivering plaats en
niks is bespaard!
Jeroen Roland.

13-09-2007, 12:10 door Anoniem

Gister gezien op milw0rm en al getest. Werkt goed :(

13-09-2007, 13:13 door Anoniem

Weer een reden om geen quicktime te gebruiken vind het
sowieso al een bud programma.

13-09-2007, 13:14 door Anoniem

Firefox, dat was toch zo veilig? En lekken werden toch binnen de kortste
keren gerepareerd? Waarom is na een JAAR dan Firefox nog steeds open
voor dit lek van Quicktime?

13-09-2007, 14:16 door Anoniem

YA Windows-exploit, dus?

13-09-2007, 20:33 door Anoniem

Door Anoniem
Firefox, dat was toch zo veilig? En lekken werden toch
binnen de kortste
keren gerepareerd? Waarom is na een JAAR dan Firefox nog
steeds open
voor dit lek van Quicktime?

Tja. Dat was het inderdaad wel.
Gelukkig is het nog steeds een fantastisch alternatief voor
IExploder.

13-09-2007, 22:54 door Anoniem

Ik ben niet echt bang meer voor dit soort (zero
day) exploits, er zijn verschillende manieren om
je hier tegen te beschermen:

- Firefox (of andere browser) draaien in non-admin
mode. (Denk aan DropMyRights of Software
Restriction Policies in Win XP Pro)

- Firefox (of andere browser) draaien in een
sandbox. (Bijv. Sandboxie, DefenseWall)

- Een executie blocker (als bijv. System Safety
Monitor Pro) gebruiken, dit voorkomt dat
programma´s zonder toestemming gestart kunnen
worden. Dit stopt waarschijnlijk 95% (of meer) van
alle "drive by" attacks.

En het al eerder genoemde:

- NoScript plugin (werkt niet als je toch besluit
scripting te gebruiken omdat de site anders niet
werkt)

- Quicktime verwijderen, het zuigt sowieso toch al.

Rasheed

14-09-2007, 12:26 door spatieman

windows iseu dus.
wie speet zowie zo MP3's af met QT ???

14-09-2007, 17:16 door Anoniem

Door Anoniem
Firefox, dat was toch zo veilig? En lekken werden toch binnen de kortste
keren gerepareerd? Waarom is na een JAAR dan Firefox nog steeds open
voor dit lek van Quicktime?

volgens mij moet apple dit ook op lossen.

16-09-2007, 11:03 door Anoniem

Door Anoniem

Door Anoniem
Firefox, dat was toch zo veilig? En lekken werden toch
binnen de kortste
keren gerepareerd? Waarom is na een JAAR dan Firefox nog
steeds open
voor dit lek van Quicktime?

Tja. Dat was het inderdaad wel.
Gelukkig is het nog steeds een fantastisch alternatief voor
IExploder.

En waarom dan wel? Als ik zie hoe vaak websites niet goed weergegeven
worden in Firefox, dan blijf ik maar liever bij IE7.

17-09-2007, 21:24 door Anoniem

De Nederlandse site van Mozilla geeft Quicktime de schuld. Dat is ook wel
zo, maar ze zwijgen in alle talen dat het Firefox is dat dit doorlaat. Daar
heeft Internet Explorer bijvoorbeeld wel een stokje voor gestoken, dus
waarom kan Firefox dat dan niet?

Als je niet eens eerlijk je ongelijk kunt toegeven, zak je toch als Mozilla wel
heel erg door de grond. Alweer een bewijs dat Firefox helemaal niet die
veilige browsers is die men ons wil doen geloven.

Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Bitcoin:

Vacature

Junior DevOps Engineer

Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?

Lees meer

Vacature

Cybersecurity Trainer / Streamer

Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.

Lees meer

Ik moet ineens mijn portret in mijn Office 365 account stoppen, mag dat?

13-11-2024 door Arnoud Engelfriet

Juridische vraag: Ik werk in de publieke sector bij een organisatie die tussen 500-1000 medewerkers heeft. Vandaag werden wij ...

33 reacties

Lees meer