Nieuws
image

Firefox feature blijkt beveiligingsrisico

zaterdag 10 november 2007, 11:12 door Redactie, 10 reacties

Beveiligingsonderzoekers hebben een nieuw "protocol handling" probleem in Firefox aangetroffen, waardoor in bepaalde situaties het uitvoeren van willekeurige code mogelijk is. Het probleem doet zich voor met de "jar:" protocol handler, die de inhoud van een archief niet goed controleert, en uitvoert in de context van de site die het archief aanbiedt. Dit kan misbruikt worden om op websites die gebruikers bepaalde bestanden laten uploaden, cross site scripting aanvallen uit te voeren.

Via de het jar protocol is het mogelijk om content uit een gecomprimeerd bestand te halen. "Als het kwaadaardige Zip, Doc, Odt, etc. bestand is geupload/gedeeld, kunnen aanvallers op elke manier mogelijk een cross-site scripting aanval uitvoeren. Ik heb ontdekt dat veel meer applicaties met dit probleem te maken hebben, waaronder die van Google en Microsoft. Het aantal is zo groot dat het geen zin heeft om ze hier allemaal te noemen, of verder te onderzoeken. De oorzaak van het probleem is overal dezelfde, de jar: URL protocol handler", zegt Petko Petkov.

De kwetsbaarheid was al in februari door een andere onderzoeker aan Mozilla gemeld. De browser ontwikkelaar besloot de kwetsbaarheid niet aan het publiek bekend te maken, maar heeft dat na de publicatie van Petkov alsnog gedaan.

Reacties (10)
10-11-2007, 11:34 door Nomen Nescio
Firefox, dat was toch dat programma waar die lekken altijd zo snel in
gerepareerd werden?
10-11-2007, 12:09 door [Account Verwijderd]
[Verwijderd]
10-11-2007, 12:58 door Darkman
Gewoon maatregelen nemen;
Installeer de laatste beta versie van NoScript
[url=http://noscript.net/getit#devel]hier[/url].

[color=blue]Important advisory: latest NoScript development
version offers protection against the XSS dangers
originated by jar: URIs. Please help us testing this
beta.[/color]
http://noscript.net/
10-11-2007, 13:07 door Anoniem
Nee dat is Internet Explorer
10-11-2007, 14:15 door Anoniem
.jar-bestanden zijn - voor zover ik weet - java-scripts. Die
kan je met NoScript tegenhouden. Maar als je een goede jre
geinstalleerd hebt, zorgt die - voor zover ik weet - voor de
uitvoering van het .jar-bestand.
Dus ook zaak de jre up2date te hebben, en de instellingen
veilig.
Ik kan me voorstellen dat niet alleen FF hier last van heeft.
10-11-2007, 16:30 door Anoniem
Door Itsmeman
Firefox, dat was toch dat programma waar die lekken altijd
zo snel in
gerepareerd werden?
inderdaad, maar het is was lastig ze op te lossen voor ze
bekend zijn,
10-11-2007, 19:20 door extranion
IE heeft er ook last van zoals uit het artikel blijkt -->
microsoft

en denk dat opera en alle andere browsers dit ook hebben
11-11-2007, 09:14 door Nomen Nescio
Door moppentappers
dat is ook zo, en ik verwacht dat ook dit lek snel
gerepareerd zal worden.
Een lek van februari nou al repareren? Sjonge zeg, dat is snel!
11-11-2007, 09:15 door Nomen Nescio
Door Anoniem
Door Itsmeman
Firefox, dat was toch dat programma waar die lekken altijd
zo snel in
gerepareerd werden?
inderdaad, maar het is was lastig ze op te lossen voor ze
bekend zijn,
Het was in FEBRUARI al bekend! Lees eens een tekst voor je commentaar
geeft.
11-11-2007, 14:09 door fd0
Door Anoniem
.jar-bestanden zijn - voor zover ik weet - java-scripts.

.jar is een java archive... vergelijkbaar met zip en tar etc..
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Zoeken
search