Mozilla patcht ernstig informatielek in Firefox 2.0.0.12
Het lek in Firefox dat vorige week woensdag werd ontdekt is volgens de Mozilla Stichting toch ernstig te noemen, eerder liet de open source ontwikkelaar nog weten dat de impact wel meeviel. In een update meldt beveiligingschef Window Snyder dat een aanvaller de kwetsbaarheid kan misbruiken om sessie gegevens, zoals sessie cookie en sessie geschiedenis te stelen. Op deze manier kan een aanvaller toegang krijgen tot webmail, PayPal, eBay en andere online accounts van het slachtoffer.
Standaard is Firefox niet kwetsbaar, er zijn echter meer dan 600 uitbreidingen, extensies en addons, die het lek binnen de browser introduceren. De kwetsbaarheid in het "chrome protocol scheme" wordt veroorzaakt doordat de brower "escaped" karakters niet goed verwerkt. Hierdoor is het mogelijk om een willekeurig javascript bestand op de machine van het slachtoffer te laden.
Om de kwetsbaarheid te misbruiken moet het slachtoffer wel een extensie hebben geïnstalleerd die de inhoud niet in een jar archief opslaat, zoals bij bijvoorbeeld de Download Statusbar en Greasemonkey extensies het geval is. Snyder zegt dat het probleem in Firefox 2.0.0.12 is verholpen, en dat de nieuwe versie binnenkort zal verschijnen.
Reacties (31)
30-01-2008, 15:17 door
Nomen Nescio
Door X-2
Die dame op de foto vindt ik veel interessanter....
Vindt jij dat? Maar je mag vindt ook best zonder t schrijven hoor.Die dame op de foto vindt ik veel interessanter....
30-01-2008, 15:19 door
Nomen Nescio
Eigenlijk een gekke reactie: standaard is Firefox niet kwetsbaar? Juist
wel, want derden kunnen zich dus wel degelijk toegang verschaffen. Al
zijn er duizend toevoegingen, dan nog mag Firefox geen lek vertonen.
Geleuter dus om iets recht te praten wat krom is.
wel, want derden kunnen zich dus wel degelijk toegang verschaffen. Al
zijn er duizend toevoegingen, dan nog mag Firefox geen lek vertonen.
Geleuter dus om iets recht te praten wat krom is.
30-01-2008, 15:19 door
SirDice
Door Nomen Nescio
Pot verwijt de ketel... Het is "Vind jij dat"...Door X-2
Die dame op de foto vindt ik veel interessanter....
Vindt jij dat? Maar je mag vindt ook best zonder t schrijven hoor.Die dame op de foto vindt ik veel interessanter....
Overigens is de dame op de foto Window Snyder ;)
30-01-2008, 15:27 door
SirDice
Door Nomen Nescio
Eigenlijk een gekke reactie: standaard is Firefox niet kwetsbaar?
Zo vreemd is het niet.. Standaard, dus zonder enige toevoegingen, is FF niet kwetsbaar. Als je wel toevoegingen hebt moeten deze ook niet in een jar staan.. Dan pas, als aan al die voorwaarden is voldaan, is FF vatbaar. Dat de bug gefixed moet worden is wel duidelijk maar je loopt geen risico als je niet aan die voorwaarden voldoet.Eigenlijk een gekke reactie: standaard is Firefox niet kwetsbaar?
30-01-2008, 15:35 door
Nomen Nescio
Door SirDice
niet kwetsbaar. Als je wel toevoegingen hebt moeten deze ook niet in
een jar staan.. Dan pas, als aan al die voorwaarden is voldaan, is FF
vatbaar. Dat de bug gefixed moet worden is wel duidelijk maar je loopt
geen risico als je niet aan die voorwaarden voldoet.
Moet je eens opletten hoe onkwetsbaar mijn computer is als ik hem uit Door Nomen Nescio
Eigenlijk een gekke reactie: standaard is Firefox niet kwetsbaar?
Zo vreemd is het niet.. Standaard, dus zonder enige toevoegingen, is FF Eigenlijk een gekke reactie: standaard is Firefox niet kwetsbaar?
niet kwetsbaar. Als je wel toevoegingen hebt moeten deze ook niet in
een jar staan.. Dan pas, als aan al die voorwaarden is voldaan, is FF
vatbaar. Dat de bug gefixed moet worden is wel duidelijk maar je loopt
geen risico als je niet aan die voorwaarden voldoet.
heb gezet.
Wat ik bedoel, is dat het altijd mogelijk is om een lek in FF te maken, of
dat nou met een toevoeging gebeurt of wat anders, maakt niks uit. Het
is namelijk precies dezelfde verwijten die men Microsoft doet:
standaard is Windows niet kwetsbaar, maar als je er allerlei
rampenprogramma's op gaat installeren, gaat het fout. En dan wordt
Microsoft verweten dat Windows daar niet tegen beschermd is. Nou,
datzelfde verwijt geldt hier ook voor Firefox.
30-01-2008, 15:43 door
SirDice
Door Nomen Nescio
Het is namelijk precies dezelfde verwijten die men Microsoft
doet: standaard is Windows niet kwetsbaar, maar als je er
allerlei rampenprogramma's op gaat installeren, gaat het
fout. En dan wordt Microsoft verweten dat Windows daar niet
tegen beschermd is.
Niet door mij in ieder geval.Het is namelijk precies dezelfde verwijten die men Microsoft
doet: standaard is Windows niet kwetsbaar, maar als je er
allerlei rampenprogramma's op gaat installeren, gaat het
fout. En dan wordt Microsoft verweten dat Windows daar niet
tegen beschermd is.
Door SirDice
Dat zei ik ook niet. Ik doelde op die ongefundeerde kritieken van derden op Door Nomen Nescio
Het is namelijk precies dezelfde verwijten die men Microsoft
doet: standaard is Windows niet kwetsbaar, maar als je er
allerlei rampenprogramma's op gaat installeren, gaat het
fout. En dan wordt Microsoft verweten dat Windows daar niet
tegen beschermd is.
Niet door mij in ieder geval.Het is namelijk precies dezelfde verwijten die men Microsoft
doet: standaard is Windows niet kwetsbaar, maar als je er
allerlei rampenprogramma's op gaat installeren, gaat het
fout. En dan wordt Microsoft verweten dat Windows daar niet
tegen beschermd is.
IE en zo en dat FF zoveel beter zou zijn.
Door Nomen Nescio
Het is namelijk precies dezelfde verwijten die men
Microsoft doet: standaard is Windows niet kwetsbaar, maar
als je er allerlei
rampenprogramma's op gaat installeren, gaat het fout. En dan
wordt Microsoft verweten dat Windows daar niet tegen
beschermd is. Nou, datzelfde verwijt geldt hier ook voor
Firefox.
Windows heeft standaard al die "rampenprogramma's" aanHet is namelijk precies dezelfde verwijten die men
Microsoft doet: standaard is Windows niet kwetsbaar, maar
als je er allerlei
rampenprogramma's op gaat installeren, gaat het fout. En dan
wordt Microsoft verweten dat Windows daar niet tegen
beschermd is. Nou, datzelfde verwijt geldt hier ook voor
Firefox.
boord. IE, Windows mail/outlook express, e.d.
Probeer die maar eens te verwijderen!
30-01-2008, 17:10 door
SirDice
Door meinonA
Windows heeft standaard al die "rampenprogramma's" aan boord. IE, Windows mail/outlook express, e.d.
Probeer die maar eens te verwijderen!
De enige die echt lastig te verwijderen is is IE. De rest is er zo af hoor..Windows heeft standaard al die "rampenprogramma's" aan boord. IE, Windows mail/outlook express, e.d.
Probeer die maar eens te verwijderen!
Kijk voor de gein eens in sysoc.inf (staat in %WINDIR%inf). Let, aan het einde van de regels, op het HIDE.. Haal dat weg, wel de komma's netjes laten staan, en je kunt ineens heel veel meer windows onderdelen verwijderen...
Door Nomen Nescio
Het is namelijk precies dezelfde verwijten die men Microsoft
doet:
standaard is Windows niet kwetsbaar, maar als je er allerlei
rampenprogramma's op gaat installeren, gaat het fout. En dan
wordt
Microsoft verweten dat Windows daar niet tegen beschermd is.
Nou,
datzelfde verwijt geldt hier ook voor Firefox.
uhm... sorry? Standaard is Microsoft wel kwetsbaar.Het is namelijk precies dezelfde verwijten die men Microsoft
doet:
standaard is Windows niet kwetsbaar, maar als je er allerlei
rampenprogramma's op gaat installeren, gaat het fout. En dan
wordt
Microsoft verweten dat Windows daar niet tegen beschermd is.
Nou,
datzelfde verwijt geldt hier ook voor Firefox.
Installeer maar eens WindowsXP zonder servicepacks, patches
en virusscanner (dus ook zonder enig ander programma) en
hang die maar gezellig aan het internet. Kijken hoe lang het
duurt voor hij gehackt is... Geloof dat de gemiddelde tijd
die het duurt voor een ongepatchte Microsoft PC gehackt
wordt op 19 minuten staat. Dus geen onzin verkopen nu:
standaard is Microsoft wel degelijk kwetsbaar.
Als je bedoelt dat Internet Explorer 7 niet kwetsbaar is:
heb je maar deels gelijk in. Ook daar zijn patches voor
uitgekomen. En het aantal plugins voor Internet Explorer 7
tegenover het aantal plugins voor Firefox is natuurlijk:
nihil. Dus om de plugins van Internet Explorer de schuld te
geven dat IE lek is is natuurlijk ook onzin.
Maar je hebt gelijk als je zegt dat ook Firefox wel degelijk
gepatched moet worden: geen een softwarepakket is zaligmakend...
Door SirDice
er zo af hoor..
Kijk voor de gein eens in sysoc.inf (staat in %WINDIR%inf).
Let, aan het einde van de regels, op het HIDE.. Haal dat
weg, wel de komma's netjes laten staan, en je kunt ineens
heel veel meer windows onderdelen verwijderen...
Door meinonA
Windows heeft standaard al die "rampenprogramma's"
aan boord. IE, Windows mail/outlook express, e.d.
Probeer die maar eens te verwijderen!
De enige die echt lastig te verwijderen is is IE. De rest isWindows heeft standaard al die "rampenprogramma's"
aan boord. IE, Windows mail/outlook express, e.d.
Probeer die maar eens te verwijderen!
er zo af hoor..
Kijk voor de gein eens in sysoc.inf (staat in %WINDIR%inf).
Let, aan het einde van de regels, op het HIDE.. Haal dat
weg, wel de komma's netjes laten staan, en je kunt ineens
heel veel meer windows onderdelen verwijderen...
En al "verborgen onderdelen" die neem je op ter verwijdering
in een batch file en stuur je aan al je vrienden en bekenden.
Zullen ze blij mee zijn..
30-01-2008, 18:40 door
Nomen Nescio
Door meinonA
boord. IE, Windows mail/outlook express, e.d.
Probeer die maar eens te verwijderen!
Kijk, dit bedoel ik dus. Dit soort smerige en vooral onbewezen geleuter.Door Nomen Nescio
Het is namelijk precies dezelfde verwijten die men
Microsoft doet: standaard is Windows niet kwetsbaar, maar
als je er allerlei
rampenprogramma's op gaat installeren, gaat het fout. En dan
wordt Microsoft verweten dat Windows daar niet tegen
beschermd is. Nou, datzelfde verwijt geldt hier ook voor
Firefox.
Windows heeft standaard al die "rampenprogramma's" aanHet is namelijk precies dezelfde verwijten die men
Microsoft doet: standaard is Windows niet kwetsbaar, maar
als je er allerlei
rampenprogramma's op gaat installeren, gaat het fout. En dan
wordt Microsoft verweten dat Windows daar niet tegen
beschermd is. Nou, datzelfde verwijt geldt hier ook voor
Firefox.
boord. IE, Windows mail/outlook express, e.d.
Probeer die maar eens te verwijderen!
30-01-2008, 18:43 door
Nomen Nescio
Door SirDice
Kijk voor de gein eens in sysoc.inf (staat in %WINDIR%inf). Let, aan het
einde van de regels, op het HIDE.. Haal dat weg, wel de komma's netjes
laten staan, en je kunt ineens heel veel meer windows onderdelen
verwijderen...
En over welke Windows heb jij het dan? In XP staat dat HIDE niet in Door meinonA
Windows heeft standaard al die "rampenprogramma's" aan
boord. IE, Windows mail/outlook express, e.d.
Probeer die maar eens te verwijderen!
De enige die echt lastig te verwijderen is is IE. De rest is er zo af hoor..Windows heeft standaard al die "rampenprogramma's" aan
boord. IE, Windows mail/outlook express, e.d.
Probeer die maar eens te verwijderen!
Kijk voor de gein eens in sysoc.inf (staat in %WINDIR%inf). Let, aan het
einde van de regels, op het HIDE.. Haal dat weg, wel de komma's netjes
laten staan, en je kunt ineens heel veel meer windows onderdelen
verwijderen...
sysoc.inf
Zoals SirDice terecht opmerkt, is het lek alleen onder
bepaalde voorwaarden te misbruiken:
- je moet toevallig zo'n non-jar add-on geinstalleerd hebben
- de site moet javascript mogen uitvoeren.
Dat laatste kan je met NoScript tegenhouden, waardoor je met
oudere FF ook minder gevaar loopt. Maar ook vertrouwde
websites worden weleens gehacked, dus 100% zekerheid heb je
niet. Maar dat heb je nooit, zoals wij allen weten. Het gaat
dan ook niet om het wel/niet kwetsbaar zijn, maar om de mate
van kwetsbaarheid en de kans daarop. Het gaat niet om 0% of
100% veilig, maar om 1% t/m 99% en alles daar tussenin.
De kans op misbruik lijkt me in dit geval klein maar ik ben
het met Nomen Nescio eens dat dit lek in eerste instantie
gebagatelliseerd werd. Iets dat Microsoft overigens bijna
altijd doet en daar dan ook terecht flinke kritiek op krijgt.
bepaalde voorwaarden te misbruiken:
- je moet toevallig zo'n non-jar add-on geinstalleerd hebben
- de site moet javascript mogen uitvoeren.
Dat laatste kan je met NoScript tegenhouden, waardoor je met
oudere FF ook minder gevaar loopt. Maar ook vertrouwde
websites worden weleens gehacked, dus 100% zekerheid heb je
niet. Maar dat heb je nooit, zoals wij allen weten. Het gaat
dan ook niet om het wel/niet kwetsbaar zijn, maar om de mate
van kwetsbaarheid en de kans daarop. Het gaat niet om 0% of
100% veilig, maar om 1% t/m 99% en alles daar tussenin.
De kans op misbruik lijkt me in dit geval klein maar ik ben
het met Nomen Nescio eens dat dit lek in eerste instantie
gebagatelliseerd werd. Iets dat Microsoft overigens bijna
altijd doet en daar dan ook terecht flinke kritiek op krijgt.
31-01-2008, 08:33 door
Ronald van den Heetkamp
Typisch Mozilla, uiteraard is het wel zo dat un-jarred
extensions, net als mijn FireEncrypter de gelegenheid geven
tot deze directory traversals, Maar. en dit is een grote
'maar': Ik heb Mozilla er al eerder op gewezen dat ze dit
moeten aanpakken. Het probleem zit 'm gewoon in het niet
normaliseren van externe en interne URI's die gecodeerd zijn.
In 2007 poste ik al een artikel en een waarschuwing
hierover: http://www.0x000000.com/index.php?i=422
Eigenlijk een idem dito probleem maar dan met het remote
resource:// schema. Waarbij het mogelijk is een directory
traversal uit te voeren. Dit was niet echt een probleem,
maar ik vertelde er wel bij dat ze is een keertje beter
moeten op gaan letten. En als resultaat is er nu dit bericht.
Als men gewoon in de broncode kijkt van Firefox dan ziet men
dat de programmeurs bijna overal de URI's normaliseren, en
dat dit gewoon echt een grote fout is. Oftwel, het mag niet
zo zijn dat men de plugin developers de schuld gaan geven.
Firefox zelf is verantwoordelijk dat dit niet mag gebeuren
in welke omstandigheid dan ook. Het is een chrome probleem
dat opgelost moet worden.
Gelukkig gebruik ik Opera :)
extensions, net als mijn FireEncrypter de gelegenheid geven
tot deze directory traversals, Maar. en dit is een grote
'maar': Ik heb Mozilla er al eerder op gewezen dat ze dit
moeten aanpakken. Het probleem zit 'm gewoon in het niet
normaliseren van externe en interne URI's die gecodeerd zijn.
In 2007 poste ik al een artikel en een waarschuwing
hierover: http://www.0x000000.com/index.php?i=422
Eigenlijk een idem dito probleem maar dan met het remote
resource:// schema. Waarbij het mogelijk is een directory
traversal uit te voeren. Dit was niet echt een probleem,
maar ik vertelde er wel bij dat ze is een keertje beter
moeten op gaan letten. En als resultaat is er nu dit bericht.
Als men gewoon in de broncode kijkt van Firefox dan ziet men
dat de programmeurs bijna overal de URI's normaliseren, en
dat dit gewoon echt een grote fout is. Oftwel, het mag niet
zo zijn dat men de plugin developers de schuld gaan geven.
Firefox zelf is verantwoordelijk dat dit niet mag gebeuren
in welke omstandigheid dan ook. Het is een chrome probleem
dat opgelost moet worden.
Gelukkig gebruik ik Opera :)
31-01-2008, 09:18 door
SirDice
Door Nomen Nescio
En over welke Windows heb jij het dan? In XP staat dat HIDE niet in sysoc.inf
Dan heb je een aangepaste XP.. Onder het kopje [Components] deze bijv:En over welke Windows heb jij het dan? In XP staat dat HIDE niet in sysoc.inf
com=comsetup.dll,OcEntry,comnt5.inf,hide,7
dtc=msdtcstp.dll,OcEntry,dtcnt5.inf,hide,7
Door SirDice
er zo af hoor..
Kijk voor de gein eens in sysoc.inf (staat in %WINDIR%inf).
Let, aan het einde van de regels, op het HIDE.. Haal dat
weg, wel de komma's netjes laten staan, en je kunt ineens
heel veel meer windows onderdelen verwijderen...
Dat krijgt mijn moeder nooit gevonden...Door meinonA
Windows heeft standaard al die "rampenprogramma's"
aan boord. IE, Windows mail/outlook express, e.d.
Probeer die maar eens te verwijderen!
De enige die echt lastig te verwijderen is is IE. De rest isWindows heeft standaard al die "rampenprogramma's"
aan boord. IE, Windows mail/outlook express, e.d.
Probeer die maar eens te verwijderen!
er zo af hoor..
Kijk voor de gein eens in sysoc.inf (staat in %WINDIR%inf).
Let, aan het einde van de regels, op het HIDE.. Haal dat
weg, wel de komma's netjes laten staan, en je kunt ineens
heel veel meer windows onderdelen verwijderen...
Voor de moeder van 'meinonA' is er; http://www.vlite.net/
dit progje kan Windows Vista uitkleden door ‘ongewenste
componenten’ permanent te verwijderen.
dit progje kan Windows Vista uitkleden door ‘ongewenste
componenten’ permanent te verwijderen.
31-01-2008, 13:59 door
Nomen Nescio
De broncode voor Firefox 3 is door Mozilla geblokkeerd met de
argumentatie dat er te veel geknoeid wordt.
Hoezo open domein?
Hoezo kritiek op Microsoft?
argumentatie dat er te veel geknoeid wordt.
Hoezo open domein?
Hoezo kritiek op Microsoft?
31-01-2008, 14:00 door
Nomen Nescio
Door SirDice
bijv:
com=comsetup.dll,OcEntry,comnt5.inf,hide,7
dtc=msdtcstp.dll,OcEntry,dtcnt5.inf,hide,7
Er staan er meer..
Ik heb GEEN aangepaste XP hoor!Door Nomen Nescio
En over welke Windows heb jij het dan? In XP staat dat HIDE niet in
sysoc.inf
Dan heb je een aangepaste XP.. Onder het kopje [Components] deze En over welke Windows heb jij het dan? In XP staat dat HIDE niet in
sysoc.inf
bijv:
com=comsetup.dll,OcEntry,comnt5.inf,hide,7
dtc=msdtcstp.dll,OcEntry,dtcnt5.inf,hide,7
31-01-2008, 14:43 door
SirDice
Door Nomen Nescio
Dan zit je of in de verkeerde inf te kijken, of het is al eens aangepast.Door SirDice
com=comsetup.dll,OcEntry,comnt5.inf,hide,7
dtc=msdtcstp.dll,OcEntry,dtcnt5.inf,hide,7
Er staan er meer..
Ik heb GEEN aangepaste XP hoor!Door Nomen Nescio
En over welke Windows heb jij het dan? In XP staat dat HIDE niet in sysoc.inf
Dan heb je een aangepaste XP.. Onder het kopje [Components] deze bijv:En over welke Windows heb jij het dan? In XP staat dat HIDE niet in sysoc.inf
com=comsetup.dll,OcEntry,comnt5.inf,hide,7
dtc=msdtcstp.dll,OcEntry,dtcnt5.inf,hide,7
31-01-2008, 15:38 door
Nomen Nescio
Door SirDice
Door Nomen Nescio
Dan zit je of in de verkeerde inf te kijken, of het is al eens aangepast.Door SirDice
com=comsetup.dll,OcEntry,comnt5.inf,hide,7
dtc=msdtcstp.dll,OcEntry,dtcnt5.inf,hide,7
Er staan er meer..
Ik heb GEEN aangepaste XP hoor!Door Nomen Nescio
En over welke Windows heb jij het dan? In XP staat dat HIDE niet in
sysoc.inf
Dan heb je een aangepaste XP.. Onder het kopje [Components] deze bijv:En over welke Windows heb jij het dan? In XP staat dat HIDE niet in
sysoc.inf
com=comsetup.dll,OcEntry,comnt5.inf,hide,7
dtc=msdtcstp.dll,OcEntry,dtcnt5.inf,hide,7
Geen van beide
31-01-2008, 16:39 door
SirDice
Dan klopt er toch iets niet bij je... Die sysoc.inf heeft al
sinds NT een aantal regels waar die 'hide' in voorkomt.
2000, XP, 2K3 allemaal hebben ze het...
sinds NT een aantal regels waar die 'hide' in voorkomt.
2000, XP, 2K3 allemaal hebben ze het...
01-02-2008, 09:13 door
Nomen Nescio
Door SirDice
Overigens is de dame op de foto Window Snyder ;)
Dat had ik dus expres zo geschreven. Maar zelfs dat ontgaat jou.Door Nomen Nescio
Pot verwijt de ketel... Het is "Vind jij dat"...Door X-2
Die dame op de foto vindt ik veel interessanter....
Vindt jij dat? Maar je mag vindt ook best zonder t schrijven hoor.Die dame op de foto vindt ik veel interessanter....
Overigens is de dame op de foto Window Snyder ;)
Door Nomen Nescio
hoor.
Door X-2
Die dame op de foto vindt ik veel interessanter....
Vindt jij dat? Maar je mag vindt ook best zonder t schrijvenDie dame op de foto vindt ik veel interessanter....
hoor.
Neeuu....mot met een t hoor...
Door X-2
Neeuu....mot met een t hoor...
nederlands lesje volgen?Door Nomen Nescio
hoor.
Door X-2
Die dame op de foto vindt ik veel interessanter....
Vindt jij dat? Maar je mag vindt ook best zonder t schrijvenDie dame op de foto vindt ik veel interessanter....
hoor.
Neeuu....mot met een t hoor...
Reageren
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
