NoScript beschermt Firefox tegen zero-day lek
Gebruikers van Firefox die zich zorgen maken over het gisteren ontdekte zero-day lek in opensource browser, kunnen in afwachting op de update volgende week de extensie NoScript gebruiken. Via de kwetsbaarheid is het mogelijk om willekeurige code uit te voeren en zo het systeem over te nemen, maar niet als men NoScript heeft geïnstalleerd.
"De proof-of-conceprt exploit laat Firefox op Windows, Linux en Mac OS X crashen, zelfs als je NoScript geinstalleerd hebt. Deze crashing bug, zoals de meeste hiervan, is niet te misbruiken als je JavaScript en andere actieve content op de kwaadaardige website hebt uitgeschakeld, omdat de exploit scripting gebruikt om de kwaadaardige lading in de juiste geheugenlocatie te injecteren", zegt NoScript ontwikkelaar Giorgio Maone.
"Daarom kun je eenvoudig overleven totdat de Automatische Update z'n werk doet, zolang je kunt leven met een vervelende, maar ongevaarlijke crash." Iets wat door de session-restore functionaliteit van Firefox geen probleem zou moeten zijn.
Onverantwoord
De beveiligingsonderzoeker die het lek wereldkundig maakte, is net als Maone een Italiaan. Toch heeft hij geen goed woord over voor Guido Landi en noemt zijn actie onverantwoord. "Ik voel me er een beetje schuldig over, omdat Landi net als mij een Italiaan is, niet dat we hier in Italië geen redenen genoeg hebben om ons te schamen", waarbij hij naar premier Silvio Berlusconi verwijst.
Verder merk ik dat ik bij het zoeken naar informatie regelmatig op sites kom waarbij Javascript aangezet moet worden om de site te bekijken. Omdat in de praktijk bijkt dat je niet aan de hand van het uiterlijk van een site kunt bepalen of die site ook goed beveiligd is, is het aanzetten van Javascript gewoon een blinde gok.
Het advies moet dus eigenlijk luiden: wacht met het bezoeken van onbekende sites tot de bug in FF gefixed is, en zet totdat je die fix hebt in geen geval Javascript aan op sites waar dit nog uit staat. Overweeg of je Javascript uit moet zetten voor sites waar dit nu aan staat.
Plaats die drie bestanden in een mapje en open het html-bestand met Firefox (lokaal dus).
Firefox crasht meteen, ook als Java en Javascript uitstaan onder instellingen.
En ook als standaard NoScript al het onbekende tegenhoudt crasht Firefox meteen.
Zoals in de eerdere discussie al gemeld werd, helpt NoScript niet tegen deze exploit.
Dat desondanks de titel het tegendeel beweert vind ik op z'n zachtst gezegd eigenaardig.
http://www.mozilla.com/en-US/firefox/3.0.8/releasenotes/
http://releases.mozilla.org/pub/mozilla.org/firefox/releases/3.0.8/
Verder helpt no-script wel tegen het lek, alleen niet tegen de crash (zoals in het artikel vermeld staat trouwens). De no-script ontwikkelaar heeft beloofd dat de volgende no-script versie ook de crash zal stoppen. Nu maar afwachten wat eerder is, de volgende no-script of de volgende firefox update :)
Verder helpt no-script wel tegen het lek, alleen niet tegen de crash (zoals in het artikel vermeld staat trouwens). De no-script ontwikkelaar heeft beloofd dat de volgende no-script versie ook de crash zal stoppen. Nu maar afwachten wat eerder is, de volgende no-script of de volgende firefox update :)
In mijn virtuele XP weliswaar; maar hij doet het vooralsnog goed...
Ik zie ook nergens dat 't een testversie is...
[update]Het is geen testversie; zie ook http://tweakers.net/meuktracker/19990/mozilla-firefox-308.html
[update.2]Inmiddels komt ie ook via de automatische update functie binnen (in XP althans; nog niet in Ubuntu Linux)
En zoals altijd met mozilla, zolang een update nog niet is aangekondigd zijn ze hem nog aan het testen, en als ze een probleem vinden kunnen ze hem nog altijd terug trekken en een nieuwe maken. Echter hadden ze dan die dan nooit binnen een uur klaar gehad, dus de versie die je daar binnen hengelde zal wel de goede zijn.
Je kunt altijd in help-->Over mozilla firefox--> kijken of daar "Mozilla/5.0 (Windows; U; Windows NT 6.0; nl; rv:1.9.0.8) Gecko/2009032609 Firefox/3.0.8" staat, vooral die Gecko/Datum is belangrijk.
En zoals altijd met mozilla, zolang een update nog niet is aangekondigd zijn ze hem nog aan het testen, en als ze een probleem vinden kunnen ze hem nog altijd terug trekken en een nieuwe maken. Echter hadden ze dan die dan nooit binnen een uur klaar gehad, dus de versie die je daar binnen hengelde zal wel de goede zijn.
Je kunt altijd in help-->Over mozilla firefox--> kijken of daar "Mozilla/5.0 (Windows; U; Windows NT 6.0; nl; rv:1.9.0.8) Gecko/2009032609 Firefox/3.0.8" staat, vooral die Gecko/Datum is belangrijk.
Mozilla/5.0 (Windows; U; Windows NT 5.1; nl; rv:1.9.0.8) Gecko/2009032609 Firefox/3.0.8 :)
Deze posting is gelocked. Reageren is niet meer mogelijk.
Specialiseer je in Forensisch ICT
Online informatieavond 19 november
Wil jij je specialiseren in digitaal forensisch onderzoek? Je kennis verbreden en tech-nische vaardigheden ontwikkelen? Ontdek de cursus- en opleidingsmogelijkheden van Hogeschool Leiden:
- Bachelor Informatica Forensisch ICT (deeltijd)
- Master Digital Forensics (vol- en deeltijd)
- Module Mobile Forensics
- Module Data Analytics
Interesse? Meld je aan!
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
