Noodoplossing voor ernstig Firefox-lek
Gisteren werd bekend dat er een ernstig beveiligingslek in Firefox 3.5 zit waardoor hackers kwetsbare systemen over kunnen nemen, maar Mozilla heeft een noodoplossing gepubliceerd. In afwachting van een patch adviseert de opensource-ontwikkelaar de volgende instructies uit te voeren en die weer terug te draaien als de update beschikbaar is. De kwetsbaarheid zit in de Just-in-time (JIT) JavaScript compiler van Firefox. Het uitschakelen ervan heeft gevolgen voor de snelheid waarmee Firefox JavaScript verwerkt. Verwacht na het uitvoeren van de volgende instructies verminderde prestaties:
1. Typ about:config in adresbalk van de browser.
2. Typ jit in de Filter box bovenaan de config editor.
3. Dubbelklik de regel met javascript.options.jit.content en verander de waarde in "false".
(In het screenshot rechts moet de waarde nog in false worden veranderd)
Heeft Mozilla het lek gepatcht, dan kan op de volgende manier de optie weer worden ingeschakeld:
1. Typ about:config in adresbalk van de browser.
2. Typ jit in de Filter box bovenaan de config editor.
3. Dubbelklik de regel met javascript.options.jit.content en verander de waarde in "true".
Mozilla laat weten dat het aan een beveiligingsupdate werkt, maar nog niet kan zeggen wanneer die precies verschijnt. "Een Firefox security update wordt pas verstuurd zodra de fix voltooid en getest is." Naast het uitschakelen van JIT kunnen Firefox-gebruikers ook NoScript installeren, dat ook bescherming tegen de exploit biedt.
Reacties (16)
Het is wel grappig dat als je inderdaad NoScript hebt geïnstalleerd, men 99% van dit soort berichtjes kan negeren ! :)
Ik kan dan ook maar 1 ding concluderen ... NoScript Rulez !
Ik kan dan ook maar 1 ding concluderen ... NoScript Rulez !
15-07-2009, 09:54 door
[Account Verwijderd]
[Verwijderd]
Door Anoniem: Het is wel grappig dat als je inderdaad NoScript hebt geïnstalleerd, men 99% van dit soort berichtjes kan negeren ! :)
Ik kan dan ook maar 1 ding concluderen ... NoScript Rulez !
Inderdaad een handige plugin, maar het is niet helemaal terecht om het zoveel credit te geven. Ik kan bijvoorbeeld ook een nog betere plugin bedenken, noBrowsing, die alle sites blokkeert. Dan kun je in een keer alle berichten over beveiligingsproblemen met Firefox negeren, want je kan niet meer browsen. Mijn ervaring is in elk geval dat ik met NoScript meer ellende dan goeds op de hals haal. Elke site moet ik apart toestemming geven voor het gebruik van javascript. Ik kan niet weten of die sites misschien gehackt zijn en dus dubieuze scripts uitvoeren. Ik heb ook geen tijd om dat te controleren, dus in feite voegt het niet veel toe. Daar bovenop blokkeert het soms dingen zonder dat ik het merk, waardoor sites niet werken zonder duidelijke reden. Dan zet ik noscript maar weer uit en *poef* alles werkt weer. in feite is het dus voor een vrij klein, "paranoide" publiek een mooie plugin, maar voor de gemiddelde internetter te ingewikkeld om goed in te stellen danwel te "pervasive" om echt dagelijks te gebruiken.Ik kan dan ook maar 1 ding concluderen ... NoScript Rulez !
Door de link naar Mozilla is wel te zien dat het hier om Firefox 3.5 gaat, maar misschien toch handig om dit in de titel of uberhaupt in het bericht te vermelden.
15-07-2009, 12:05 door
Skizmo
waardoor hackers kwetsbare systemen over kunnen nemen
Windows en Linux werken onderwater heel anders. In hoeverre gaat deze quote nu op als het gaat over multi-platform bugs ? Volgens mij slaat het 'overnemen' namelijk alleen op Windows en niet op Linux, omdat de structuur van Linux niet alles zomaar toelaat wat Windows wel toelaat. Heeft hier iemand info over ?Door Anoniem:
Door Anoniem: Het is wel grappig dat als je inderdaad NoScript hebt geïnstalleerd, men 99% van dit soort berichtjes kan negeren ! :)
Ik kan dan ook maar 1 ding concluderen ... NoScript Rulez !
Inderdaad een handige plugin, maar het is niet helemaal terecht om het zoveel credit te geven. Ik kan bijvoorbeeld ook een nog betere plugin bedenken, noBrowsing, die alle sites blokkeert. Dan kun je in een keer alle berichten over beveiligingsproblemen met Firefox negeren, want je kan niet meer browsen. Mijn ervaring is in elk geval dat ik met NoScript meer ellende dan goeds op de hals haal. Elke site moet ik apart toestemming geven voor het gebruik van javascript. Ik kan niet weten of die sites misschien gehackt zijn en dus dubieuze scripts uitvoeren. Ik heb ook geen tijd om dat te controleren, dus in feite voegt het niet veel toe. Daar bovenop blokkeert het soms dingen zonder dat ik het merk, waardoor sites niet werken zonder duidelijke reden. Dan zet ik noscript maar weer uit en *poef* alles werkt weer. in feite is het dus voor een vrij klein, "paranoide" publiek een mooie plugin, maar voor de gemiddelde internetter te ingewikkeld om goed in te stellen danwel te "pervasive" om echt dagelijks te gebruiken.Ik kan dan ook maar 1 ding concluderen ... NoScript Rulez !
Ik begrijp deze cynische reactie niet. NoScript is en blijft mijns inziens de beste plugin. Immers dwingt het bouwers van slechte website - het overgrote deel dus - tot het maken van betere sites en het op een juiste manier en plaats toepassen van Javascript e.d.
De door de schrijver gebezigde argumenten zijn dermate absurd en onjuist dat ze geen verdere bespreking behoeven. Het jammer maar je kunt het blijkbaar niet iedereen naar de zin maken.
15-07-2009, 13:08 door
cjkos
Door Anoniem:
Door Anoniem: Het is wel grappig dat als je inderdaad NoScript hebt geïnstalleerd, men 99% van dit soort berichtjes kan negeren ! :)
Ik kan dan ook maar 1 ding concluderen ... NoScript Rulez !
Inderdaad een handige plugin, maar het is niet helemaal terecht om het zoveel credit te geven. Ik kan bijvoorbeeld ook een nog betere plugin bedenken, noBrowsing, die alle sites blokkeert. Dan kun je in een keer alle berichten over beveiligingsproblemen met Firefox negeren, want je kan niet meer browsen. Mijn ervaring is in elk geval dat ik met NoScript meer ellende dan goeds op de hals haal. Elke site moet ik apart toestemming geven voor het gebruik van javascript. Ik kan niet weten of die sites misschien gehackt zijn en dus dubieuze scripts uitvoeren. Ik heb ook geen tijd om dat te controleren, dus in feite voegt het niet veel toe. Daar bovenop blokkeert het soms dingen zonder dat ik het merk, waardoor sites niet werken zonder duidelijke reden. Dan zet ik noscript maar weer uit en *poef* alles werkt weer. in feite is het dus voor een vrij klein, "paranoide" publiek een mooie plugin, maar voor de gemiddelde internetter te ingewikkeld om goed in te stellen danwel te "pervasive" om echt dagelijks te gebruiken.Ik kan dan ook maar 1 ding concluderen ... NoScript Rulez !
Met de WOT plugin zie je al wat sneller of het een veilige site is, met een Sandboxie zit je ook beter.
Waarom gebruik je een plugin om niet te browsen (da's vast een grapje), de-installeren is in dit geval de beste optie.
15-07-2009, 13:11 door
[Account Verwijderd]
[Verwijderd]
15-07-2009, 13:37 door
prikkebeen
Door Duckman:
Door Skizmo:
Kwetsbare systemen. Dat lijkt mij dus duidelijk. Dat zijn systemen waar je standaard als admin in logt.waardoor hackers kwetsbare systemen over kunnen nemen
Windows en Linux werken onderwater heel anders. In hoeverre gaat deze quote nu op als het gaat over multi-platform bugs ? Volgens mij slaat het 'overnemen' namelijk alleen op Windows en niet op Linux, omdat de structuur van Linux niet alles zomaar toelaat wat Windows wel toelaat. Heeft hier iemand info over ?Ik krijg soms het idee dat er een soort 'erecode' is onder de pers. Ik zie niet zo vaak de naam Windows vallen als het om browser gerelateerde problemen gaat. Het zijn meestal vage meldingen. Het zou helpen als het beestje bij de naam genoemd wordt.
Kortom, als het alleen om Windows systemen gaat mag dat er best bij staan. Als andere systemen hier niet kwetsbaar voor zijn hoeven die niet genoemd te worden.
Je krijgt dan een beter beeld over wie wel en niet maatregelen moeten nemen.
Admin rechten zijn niet altijd alleen de boosdoener. O.a. een gekaapte verbinding naar je bank kan ook in userland plaats vinden.
15-07-2009, 14:12 door
Skizmo
Kwetsbare systemen. Dat lijkt mij dus duidelijk. Dat zijn systemen waar je standaard als admin in logt.
Dit is compleet gelul. Kwetsbare systemen zijn systemen die slecht in elkaar zitten, en dat heeft niets met rechten te maken. Mocht iemand een echt antwoord op mijn vraag hebben hou ik mij aanbevolen.
15-07-2009, 14:22 door
prikkebeen
Door Skizmo:
Kwetsbare systemen. Dat lijkt mij dus duidelijk. Dat zijn systemen waar je standaard als admin in logt.
Dit is compleet gelul. Kwetsbare systemen zijn systemen die slecht in elkaar zitten, en dat heeft niets met rechten te maken. Mocht iemand een echt antwoord op mijn vraag hebben hou ik mij aanbevolen.Hieronder je antwoord. Het is Windows only.
"The exploit portal Milw0rm has published an exploit for Firefox 3.5. The exploit demonstrates a security vulnerability by starting the Windows calculator. In testing by heise Security, the exploit crashed Firefox under Vista, but security service providers Secunia and VUPEN confirmed that attackers using prepared websites can infect PCs. The cause of the problem is a buffer overflow when processing specially prepared Font tags."
http://www.h-online.com/security/First-Zero-Day-Exploit-for-Firefox-3-5--/news/113761
Ik had eigenlijk al een vermoeden dat het Windows zou zijn.
15-07-2009, 15:09 door
Skizmo
thanx prikkebeen :)
15-07-2009, 15:46 door
Bitwiper
Door prikkebeen: Hieronder je antwoord. Het is Windows only.
"The exploit portal Milw0rm has published an exploit for Firefox 3.5. The exploit demonstrates a security vulnerability by starting the Windows calculator. In testing by heise Security, the exploit crashed Firefox under Vista, but security service providers Secunia and VUPEN confirmed that attackers using prepared websites can infect PCs. The cause of the problem is a buffer overflow when processing specially prepared Font tags."
http://www.h-online.com/security/First-Zero-Day-Exploit-for-Firefox-3-5--/news/113761
Ik had eigenlijk al een vermoeden dat het Windows zou zijn.
Als je even doorklikt naar Secunia dan kun je daar lezen:"The exploit portal Milw0rm has published an exploit for Firefox 3.5. The exploit demonstrates a security vulnerability by starting the Windows calculator. In testing by heise Security, the exploit crashed Firefox under Vista, but security service providers Secunia and VUPEN confirmed that attackers using prepared websites can infect PCs. The cause of the problem is a buffer overflow when processing specially prepared Font tags."
http://www.h-online.com/security/First-Zero-Day-Exploit-for-Firefox-3-5--/news/113761
Ik had eigenlijk al een vermoeden dat het Windows zou zijn.
The vulnerability is caused due to an error when processing JavaScript code handling e.g. "font" HTML tags and can be exploited to cause a memory corruption.
Dat lijkt mij een Firefox bug waarvan het me niets zou verbazen als die platform-onafhankelijk is. Dat de huidige POC alleen werkt onder Windows verzekert mij er niet van dat andere besturingssystemen veilig zijn. Totdat er meer details naar buiten komen, is de aanname dat dit alleen een Windows probleem is, gewoon struisvogelgedrag.Aanvulling 16:06: zie https://bugzilla.mozilla.org/show_bug.cgi?id=503286
Product: Core
Component: JavaScript Engine
Version: 1.9.1 Branch
Platform: All All
Bronnen: http://isc.sans.org/diary.html?storyid=6796 en
http://blog.mozilla.com/security/2009/07/14/critical-javascript-vulnerability-in-firefox-35/
15-07-2009, 16:08 door
prikkebeen
Dat lijkt mij een Firefox bug waarvan het me niets zou verbazen als die platform-onafhankelijk is. Dat de huidige POC alleen werkt onder Windows verzekert mij er niet van dat andere besturingssystemen veilig zijn. Totdat er meer details naar buiten komen, is de aanname dat dit alleen een Windows probleem is, gewoon struisvogelgedrag.
Met wat nu bekend is geldt het inderdaad alleen voor Windows. Het is meteen de reden waarom ik graag wil weten of het meerdere systemen aangaat. Ik word er met mijn Ubuntu pc nerveus van en ben me heel wel bewust dat het een kwestie van tijd is voor er echte cross-platform malware verschijnt.
Er was al eens een bug die de inhoud van het klembord kaapte op alle systemen, er zullen er vast meer volgen.
Struisvogelgedrag is wat jij er van maakt en is niet aan de orde.
Edit: typo
Edit 2: Je was sneller dan mij met je reactie, hulde.
Mee eens; zeker voor een op "security" gerichte website zou je beter onderbouwde en meer precieze berichtgeving mogen verwachten en dus minstens dat er aangegeven wordt om welke besturingssystemen het gaat. Wat heb je er anders aan? Maar wat en wie zitten er eigenlijk achter deze site? Ik zie alleen maar: The Security Council B.V., Loire 13 2491AJ Den Haag. Zegt mij verder helemaal niks.. Iemand??
Reageren
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
