Nieuws
image

Ernstige Firefox-lekken supersnel gepatcht

zaterdag 28 maart 2009, 08:58 door Redactie, 14 reacties

Twee ernstige beveiligingslekken in Firefox zijn razendsnel door Mozilla gepatcht. De eerste zero-day kwetsbaarheid werd op 19 maart onthuld, tijdens de Pwn2Own wedstrijd. Hacker Nils wist niet alleen de opensource browser op de knieën te krijgen, ook Internet Explorer 8 en Safari 4 moesten eraan geloven. Apple en Microsoft hebben altijd nog geen update uitgebracht.

Het tweede leek verscheen plotseling op 25 maart en was het werk van de Italiaanse beveiligingsonderzoeker Guido Landi. In tegenstelling tot het lek van Nils, maakte hij de details van zijn kwetsbaarheid meteen bekend, inclusief proof-of-concept. Iets wat volgens Giorgio Maone, de maker van de Firefox NoScript extensie, zeer onverantwoord was. Het lek van Landi, was eerder ook al door iemand anders gemeld en zorgt ervoor dat een aanvaller de browser via een kwaadaardige XSL stylesheet kan laten crashen, om daarna willekeurige code uit te voeren.

Oorspronkelijk was Mozilla van plan om de update rond 1 april uit te brengen, maar het testen van de patch was gisteren al afgerond, waarop Mozilla besloot de update uit te brengen. Firefox 3.0.8 is via de Automatische Update functie of Mozilla.com te downloaden.

Reacties (14)
28-03-2009, 10:13 door eMilt
Ik verwacht ook niet dat Microsoft snel een update zal uitbrengen. De patch zal al wel klaar zijn maar die zal gewoon met een normale patchronde meekomen. Achteraf blijkt het lek in IE8 namelijk niet in de release versie (alleen de release candidate) op Windows Vista en Windows 7 te werken. Alleen op Windows XP kan het lek ook in de release versie worden misbruikt omdat XP geen ASLR ondersteunt.
28-03-2009, 17:42 door [Account Verwijderd]
[Verwijderd]
28-03-2009, 19:00 door Anoniem
Door eMiltIk verwacht ook niet dat Microsoft snel een update zal uitbrengen. De patch zal al wel klaar zijn maar die zal gewoon met een normale patchronde meekomen. Achteraf blijkt het lek in IE8 namelijk niet in de release versie (alleen de release candidate) op Windows Vista en Windows 7 te werken. Alleen op Windows XP kan het lek ook in de release versie worden misbruikt omdat XP geen ASLR ondersteunt.

leave microsft alone!!!!??
boohoo!
28-03-2009, 20:15 door Paultje
Door DuckmanWat!? Mozilla wacht niet gewoon netjes tot de geplande datum. Ze kennen geen patch dinsdag en nu laten ze een patch ook nog eens eerder uit komen. Waar moet dit heen. Een beetje een patch laten uitkomen als het uitkomt.

Je kunt ook automatisch naar updates in Firefox laten zoeken hoor.
28-03-2009, 22:46 door Anoniem
Door Paultje
Door DuckmanWat!? Mozilla wacht niet gewoon netjes tot de geplande datum. Ze kennen geen patch dinsdag en nu laten ze een patch ook nog eens eerder uit komen. Waar moet dit heen. Een beetje een patch laten uitkomen als het uitkomt.

Je kunt ook automatisch naar updates in Firefox laten zoeken hoor.
Ik kan me vergissen, maar: ontgaat het sarcasme je niet?
29-03-2009, 12:33 door [Account Verwijderd]
[Verwijderd]
29-03-2009, 12:55 door Van Hoorne
Door DuckmanWat!? Mozilla wacht niet gewoon netjes tot de geplande datum. Ze kennen geen patch dinsdag en nu laten ze een patch ook nog eens eerder uit komen. Waar moet dit heen. Een beetje een patch laten uitkomen als het uitkomt.
Eikels groeien niet alleen aan bomen, dat bewijs jij maar weer.
29-03-2009, 17:24 door Anoniem
Door eMiltIk verwacht ook niet dat Microsoft snel een update zal uitbrengen. De patch zal al wel klaar zijn maar die zal gewoon met een normale patchronde meekomen. Achteraf blijkt het lek in IE8 namelijk niet in de release versie (alleen de release candidate) op Windows Vista en Windows 7 te werken. Alleen op Windows XP kan het lek ook in de release versie worden misbruikt omdat XP geen ASLR ondersteunt.
Microsoft kennende zal de eerste patch wel niet goed werken en de gepatchede systemen misschien zelfs instabiel maken. Dus dan weer maandje wachten tot de reparatie-patch! :)
29-03-2009, 17:25 door Rene V
Grappig, geen commentaar van Willem2/Lamaar dit keer? Tja, valt ook weinig op aan te merken natuurlijk. Het is een feit dat de patch er erg snel was. Kan moeilijk zeuren over het feit dat in eerste instantie het ergens volgende week gepatched zou worden maar uiteindelijk toch eerder gepatched is. Kan MS nog een voorbeeld aan nemen. :)
29-03-2009, 17:27 door Rene V
Door Van Hoorne
Door DuckmanWat!? Mozilla wacht niet gewoon netjes tot de geplande datum. Ze kennen geen patch dinsdag en nu laten ze een patch ook nog eens eerder uit komen. Waar moet dit heen. Een beetje een patch laten uitkomen als het uitkomt.
Eikels groeien niet alleen aan bomen, dat bewijs jij maar weer.

Tja, de truth hurts doesn't it? :-)
29-03-2009, 17:34 door Anoniem
Eerder gepatch of niet. Het feit is gewoon dat FF steeds meer lekken heeft! FIREFOX IS EEN GEITEN KAAS!
Volgens mij kunnen we nog meer gaten verwachten van FF. Ze zitten er al, maar moeten gewoon nog ontdekt worden.
FF gebruikers krijgen vast een hart aanval van mijn bericht? Ik zeg niets meer.......................................
29-03-2009, 22:31 door [Account Verwijderd]
[Verwijderd]
30-03-2009, 10:16 door bobo
Door AnoniemEerder gepatch of niet. Het feit is gewoon dat FF steeds meer lekken heeft! FIREFOX IS EEN GEITEN KAAS!
Niet!
Het is een kaas gemaakt van paardenmelk! Een paardenkaas!
30-03-2009, 18:47 door Rene V
Door Duckman
Door René VGrappig, geen commentaar van Willem2/Lamaar dit keer? Tja, valt ook weinig op aan te merken natuurlijk. Het is een feit dat de patch er erg snel was. Kan moeilijk zeuren over het feit dat in eerste instantie het ergens volgende week gepatched zou worden maar uiteindelijk toch eerder gepatched is. Kan MS nog een voorbeeld aan nemen. :)

lees de reactie van "Van Hoorne" eens. Geen Lamaar clockwork willem2 etc maar wel een nieuw lid met een Lamaar opmerking ;). Ik zeg je ziet hem niet maar hij is er wel.

Door Van Hoorne
Eikels groeien niet alleen aan bomen, dat bewijs jij maar weer.
En bedankt voor je inbreng.

lol Duckman, ik was er inmiddels ook achter ja. :-)
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Zoeken
search
Certified Secure