Mozilla halveert beveiligingslekken in Firefox
Mozilla heeft vorig jaar het aantal beveiligingslekken in Firefox bijna gehalveerd, toch was dat niet voldoende om Internet Explorer te verslaan. Werden er in 2006 nog 64 kwetsbaarheden aangetroffen, in 2007 ging het om 36 lekken, een daling van 44%. Internet Explorer deed het beter, de browser van Microsoft kende 28 gaten. IE heeft voornamelijk met "memory corruptie" te maken, terwijl Firefox verschillende soorten kwetsbaarheden kent, zoals "security zone bypass", "memory corruptie" en lekken die niet in een specifieke categorie vallen. De gevolgen van memory corruptie zijn in veel gevallen erger dan die van het "omzeilen van een beveiligingszone."
Gecamoufleerde exploits
Een andere trend die IBM's ISS X-Force waarnam was het obfusceren en versleutelen van web exploits. Dit zorgt ervoor dat een aanval, bijvoorbeeld via een iframe, moeilijker te detecteren is voor een IDS/IPS. In 2006 ging het nog om kleine aantallen, en werd de techniek alleen ingezet bij gerichte aanvallen. Dankzij de opkomst van hacker-toolkits zoals MPack, is het inmiddels gemeengoed geworden. Was begin 2007 nog 80% van de exploits "gecamoufleerd", eind vorig jaar bedroeg het bijna 100%.
Obfusceren staat niet in de VanDale, bedoelt u verstoppen?
FF had 64 kwetsbaarheden en IE 28. Dus is IE veiliger.
Obfusceren staat niet in de VanDale, bedoelt u verstoppen?
het enige dat telt in een vergelijking over welke veiliger is.
en dat het bijna 5 minuten nodig heeft, soms dan, om af te
sluiten.
enige RUK aan firefox is het enorme gebruik aan geheugen.
en dat het bijna 5 minuten nodig heeft, soms dan, om af te
sluiten.
FF had 64 kwetsbaarheden en IE 28. Dus is IE veiliger.
Obfusceren staat niet in de VanDale, bedoelt u verstoppen?
niet
het enige dat telt in een vergelijking over welke veiliger is.
FF had 64 kwetsbaarheden en IE 28. Dus is IE veiliger.
Fijn, gaan we weer in de bashingmode :-( Ik denk dat het
vandaag de dag niet meer is van 'wie de minste lekken cq
kwetsbaarheden heeft is veiliger' maar eerder persoonlijke
voorkeur. En eerlijk is braaf: het is toch de end-user die
uiteindelijk de link is in het beveiligingstraject. Een
domme klikker kan in elke willekeurige browser op elk OS
problemen krijgen.
billen bloot. Waarom dat niet gezegd mag worden, is mij een raadsel. Zo fijngevoelig wordt er hier ook niet met IE omgegaan. Al die juichverhalen over FF blijken gewoon niet te kloppen.
En kijk eens naar organisaties als ZDNet: daarin wordt IE volledig
doodgezwegen. Over eerlijk zijn gesproken.
Maar met je eindconclusie ben ik het volkomen eens.
uitgelegd: ... De gevolgen van memory corruptie zijn in
veel gevallen erger dan die van het "omzeilen van een
beveiligingszone. Kortom: de ene fout is de andere niet.
FYI: IE heeft 20 memory corruption lekken, FF heeft er 8.
Als je wel eens op Secunia kijkt, dan zou je kunnen weten
dat de aard van een lek en de mate waarin dat lek (op
afstand) misbruikt kan worden, veel belangrijker zijn. Dit
is hier ook al vaak uitgelegd (een beetje techneut zou het
zelf kunnen bedenken) maar die gedachte schijnt toch niet
bij iedereen te pakken.
Overigens heeft FF volgens datzelfde Secunia over het geheel
genomen minder lekken dan IE, minder openstaande lekken,
minder ernstige lekken en minder ernstige openstaande lekken.
Dus zelfs uit dit artikel blijkt dat IE minder veilig is dan
FF. Maar de man zonder naam heeft z'n conclusies allang
vaststaan en roept dus traditiegetrouw: hiermee komt FF
toch echt met zijn
billen bloot.
En daarna trekt hij weer dapper ten strijde tegen iets dat
alleen in zijn bovenkamer speelt: Waarom dat niet gezegd
mag worden, is mij een raadsel.
Nomen, ik vraag me wel eens af waarom je de moeite neemt om
te reageren. De meeste andere domme mensen houden hun mond,
zodat niemand erachter komt hoe dom ze zijn. Jij doet dat
niet...
uitgelegd: ... De gevolgen van memory corruptie zijn in
veel gevallen erger dan die van het "omzeilen van een
beveiligingszone. Kortom: de ene fout is de andere niet.
FYI: IE heeft 20 memory corruption lekken, FF heeft er 8.
Als je wel eens op Secunia kijkt, dan zou je kunnen weten
dat de aard van een lek en de mate waarin dat lek (op
afstand) misbruikt kan worden, veel belangrijker zijn. Dit
is hier ook al vaak uitgelegd (een beetje techneut zou het
zelf kunnen bedenken) maar die gedachte schijnt toch niet
bij iedereen te pakken.
Overigens heeft FF volgens datzelfde Secunia over het geheel
genomen minder lekken dan IE, minder openstaande lekken,
minder ernstige lekken en minder ernstige openstaande lekken.
Dus zelfs uit dit artikel blijkt dat IE minder veilig is dan
FF. Maar de man zonder naam heeft z'n conclusies allang
vaststaan en roept dus traditiegetrouw: hiermee komt FF
toch echt met zijn
billen bloot.
En daarna trekt hij weer dapper ten strijde tegen iets dat
alleen in zijn bovenkamer speelt: Waarom dat niet gezegd
mag worden, is mij een raadsel.
Nomen, ik vraag me wel eens af waarom je de moeite neemt om
te reageren. De meeste andere domme mensen houden hun mond,
zodat niemand erachter komt hoe dom ze zijn. Jij doet dat
niet...
en kijk eens naar bijvoorbeeld "Security Zone Bypass". Daar is bij IE
geen sprake van, bij FF wel. Dus wie is er nou onveiliger? En de ene
site vindt dit beter, de andere dat. Er is altijd wel een site te vinden dat
jouw gelijk bevestigt. Zegt dus totaal niks.
En ik weet tenminste dat ik dom ben, want ik gebruik Windows.
Intelligente mensen mogen kritiek hebben op alles van Microsoft, zelfs
als ze het nog nooit gezien hebben. Kijk, dat is nou pas echt intelligent,
dingen beweren waar je geen klap verstand van hebt...
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
