Onderzoeker ruziet met Mozilla over Firefox lek
De Nederlandse beveiligingsonderzoeker Ronald van den Heetkamp onthulde dit weekend een nieuw beveiligingslek in de net gepatchte versie van Firefox, waardoor aanvallers persoonlijke informatie zouden kunnen achterhalen, maar Mozilla ontkent dit. "Chief Evangelist" Mike Shaver laat op zijn blog weten dat van den Heetkamp het bij het verkeerde eind heeft, en gebruikers geen risico lopen.
"Het is wel mogelijk om gevoelige gegevens te achterhalen mits aan bepaalde condities is voldaan. Zoals het XPIinstall.manifest bestand waar in geschreven wordt door de plugin: XULmaker. Deze schrijft het pad weg van de installatie map (echte pad). Mijn doel was om te laten zien dat websites de mogelijkheid hebben een 'browser' te 'browsen' en dat kan natuurlijk nooit de bedoeling zijn," zegt van den Heetkamp tegenover Security.NL.
Op zijn eigen weblog bijt hij harder van zich af en geeft hij Mozilla een veeg uit de pan. "Ze (Mozilla) beschuldigen me van het verspreiden van misinformatie. Mike Shaver wil niet dat ik vorderingen maak op het gebied van beveiliging, alleen omdat ik mijn mening over de perceptie van beveiligingslekken heb veranderd. Natuurlijk verander ik van mening over beveiligingszaken, omdat ik elke dag er meer over leer. Ik zou willen dat Mozilla het zelfde zou doen, maar ik denk dat dit tevergeefse hoop is."
Mozilla liegt
Volgens de Nederlandse beveiligingsonderzoeker horen browsers één richting op te gaan, en niet beide kanten op. "Toen Internet Explorer in het verleden de bestanden op je harde schijf kon lezen, werd het niet als een risico beschouwd. Vandaag de dag is dat het wel, omdat een browser volgens mij alleen maar gebruikt moet worden om andere servers te browsen."
Van den Heetkamp houdt vol dat hij verkeerd geïnterpreteerd is en dat het in theorie waarschijnlijk wel mogelijk is om persoonlijke gegevens uit te lezen. Daarnaast heeft hij nooit gezegd dat "directory traversal" mogelijk was, iets wat hem nu wel verweten wordt. "Waarschijnlijk voelen ze nu wat Microsoft de afgelopen jaren heeft doorgemaakt. Stop met het verkondigen dat je de veiligste browser bent, want het is gewoon een keiharde leugen."
de bedoeling dat je browser zomaar bestanden kan gaan lezen.
maar het is hier wel redelijk beperkt en zoals de
onderzoeker zegt kan het in sommige gevallen problemen
opleveren. maar het blijft beperkt, alleen als er in je
firefox directory iets staat met prive gegevens is dat
onveilig. dus met een kale firefox zul je vrij veilig zijn.
zo'n ruzie schiet in ieder geval niet op, nu gaan ze alleen
harder uit elkaar.
NoScript te gebruiken en liever nog een ander account voor
je dagelijkse internet. Zodat eventuele kwaadaardige scripts
dan in elk geval weer wat moeilijker bij je data kunnen komen.
Mike Shaver zegt: Those files (the user’s data) are not
stored in the Program Files hierarchy on Windows, or the
equivalent on other operating systems..
En dus kan zo'n script niet bij de user-data komen redeneert
hij dan. Kan zo'n script dan niet een ander pad gebruiken?
Al dan niet via directory-traversal? Een slap argument lijkt
mij.
Met zo'n slap argument geef je m.i. aan dat je de zaken niet
serieus neemt en wat dat betreft heeft v.d.Heetkamp (/-hoofd
;) best gelijk.
Ik vind zo'n houding moeilijk te rijmen met het open
karakter van FF.
in het verhaal spreekt wat dat betreft boekdelen. Ik ben het hier
helemaal mee eens. Ruzie of geen ruzie, je moet geen dingen van
jezelf gaan roepen die niet waar zijn. Lang geleden werd al
voorspeld dat als FF populair zou worden, zij hetzelfde konden
verwachten als wat IE overkwam.En de krokodillentranen van
Mozilla, daar lach ik dus om, want ze krijgen gewoon een koekje van
eigen deeg.
En om misverstanden te voorkomen: ik heb geen hekel aan FF,
maar wel aan ONterechte aanvallen op IE en MS.
weten wat terecht danwel onterecht is.....
zeggen wel 'even more secure'.
Ze kunnen FF ook helemaal niet de veiligste noemen, want dat zijn andere
producten. De belangrijkste is Opera. Als we Secunia mogen geloven (http://secunia.com/product/10615/ zijn er nu geen kwetsbaarheden en
bevatte het product in totaal slechts 11 al gepatchte kwetsbaarheden.
Mozilla Firefox 2.x: 21 advisories met nog 4 te patchen.
MS IE 7: 22 advisories met nog 7 te patchen.
MS IE 6: 124 advisories met nog 21 te patchen.
Lynx: 2 advisories, 0 te patchen.
Dus: MS heeft de meeste lekken verholpen, Lynx de minste.
Definieer: veiligste (en dan laten we even buiten beschouwing of er nog
niet gevonden lekken zijn).
Dus: MS heeft de meeste lekken verholpen, Lynx de minste.
:)
Door Anoniem op woensdag 13 februari 2008 09:53
Gelukkig bestaan er mensen als Nomen Nescio, die altijd
weten wat terecht danwel onterecht is.....
Ik vind het prijzenswaardig en nobel van Nomen, dat hij zich
als bijna enige hier sterk maakt voor de bescherming van
Microsoft. Erg nobel en ook dapper. Microsoft kan deze hulp
goed gebruiken denk ik.
En daarom vind ik dat wij Nomen juist moeten complimenteren
met elke poging die hij doet om serieus mee te discussieren.
Want hoewel de feitenkennis blijkbaar nog ontbreekt, is het
enthousiasme in ruime mate aanwezig. En dat moet toch
gehonoreerd worden?!
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
