image

Mozilla ontmantelt tapijtbom-lek in Firefox 2

woensdag 16 juli 2008, 11:20 door Redactie, 4 reacties

Via twee ernstige beveiligingslekken in Firefox 2 was het mogelijk voor aanvallers om systemen met malware te infecteren of vertrouwelijke informatie te stelen. Ook e-mailclient Thunderbird is kwetsbaar, maar alleen als gebruikers JavaScript toestaan, iets wat standaard niet het geval is en wat Mozilla ook afraadt. Via het 34ste lek van dit jaar, een "overflowing CSS reference counter" kwetsbaarheid, kon een website de browser laten crashen waarna een aanvaller willekeurige code kon uitvoeren.

Het 35ste lek van dit jaar betrof een probleem met het verwerken van command-line URI's met een pipe ("|") symbool. Het lek zorgde ervoor dat een aanvaller URI's via een andere browser aan Firefox kon doorgeven. Scripts die in Firefox 2 via deze URI's worden aangeroepen, kunnen data van de hele harde schijf lezen. Dat zou een risico vormen als een aanvaller een kwaadaardig bestand op een voorspelbare locatie op de harde schijf zou plaatsen. Het script zou de malware dan aanroepen en uitvoeren. Dit was bijvoorbeeld mogelijk via het "tapijtbom-lek".

Beide kwetsbaarheden zijn gepatcht in Firefox 2.0.0.16, gebruikers wordt echter geadviseerd te upgraden naar Firefox 3, aangezien de ondersteuning van Firefox 2 over precies vijf maanden eindigt.

Reacties (4)
16-07-2008, 19:02 door Nomen Nescio
Firefox was toch altijd veel veiliger? Hoe zit dat dan? Of is het nou ineens niet
zo erg omdat het Firefox is?
16-07-2008, 19:10 door Eghie
@Nomen,
Gast, heb je nou werkelijk ook iets van kijk op beveiliging,
of vind je het gewoon leuk om alles wat niet van Microsoft
is af te kraken of de mensen die tegen Microsoft zijn af te
kraken? Kom a.u.b. met normale gefundeerde opmerkingen en
gebruik eens je logische verstand. Als je geen goede kijk
hebt op beveiliging, ga het leren of ga op andere sites
lopen zeuren.

Firefox is redelijk veilig, maar echt niet zo veilig dat er
geen lekken meer in voor kunnen komen. Volgens mij is Opera
1 van de veiligste browsers op het moment. Daarnaast is
Firefox 3 al een stuk veiliger dan Firefox 2.

Trouwens Nomen, de oude IE versies waren wrakken wat betreft
beveiliging (< IE6). IE 7 is er al wat op vooruit gegaan.
Dit komt o.a. door de scheiding tussen OS en browser.
Daarnaast is IE7 ook meer met oog op veiligheid gemaakt dan
eerdere versies.
17-07-2008, 11:16 door Anoniem
Firefox was toch altijd veel veiliger? Hoe zit dat
dan?
Je had Secunia natuurlijk zelf even kunnen raadplegen:
FF 2.x 26 advisories, 3 niet gepatched
FF 3.x 3 advisories, alle gepatched
IE 7 29 advisories, 10 niet gepatched

Secunia classificeert de ernstigste openstaande fout in FF
2.0.x als 'Less Critical', en de ernstigste in IE 7 als
'Moderately Critical'. Een van de drie openstaande fouten in
FF 2.0.x kan je omzeilen door JavaScript tegen te houden, de
tweede door geen Password Manager te gebruiken.

Dus inderdaad, Firefox was altijd al veiliger en is dat
blijkbaar nog steeds! :)
17-07-2008, 19:44 door super smurf
Mede door deze site en het uitstekende advies hier, altijd
zo duidelijk omschreven, ben ik overgestapt op Firefox3.
Vind het alleen jammer dat er altijd wel iemand is om
WindowsXP of Mozilla Firefox af te kraken.
Niet doen zonde van de energie.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.