Nieuws

Ernstig zero-day lek in Mozilla Firefox

vrijdag 19 februari 2010, 11:43 door Redactie, 20 reacties

Een Russische beveiligingsonderzoeker heeft een ernstig beveiligingslek in Mozilla Firefox ontdekt, waar nog geen patch voor is en waardoor aanvallers kwetsbare systemen volledig kunnen overnemen. Het probleem wordt door een nog onbekende fout veroorzaakt en laat een aanvaller willekeurige code uitvoeren. De kwetsbaarheid is aanwezig in Firefox 3.6 en is getest op Windows XP en Vista, maar ook andere versies van de browser zouden mogelijk kwetsbaar zijn.

"De mensen die de Firefox exploit hebben gezien zijn het met me eens dat het een echt coole bug is", aldus onderzoeker Evgeny Legerov. Het vinden van het lek en maken van de exploit noemt hij een "interessante uitdaging". Mozilla laat weten dat het de kwetsbaarheid en exploit nog niet heeft kunnen verifiëren, maar dat het alle bugmeldingen serieus neemt. Het Deense Secunia adviseert Firefox-gebruikers om voorlopig geen onbetrouwbare websites of links te openen.

Identiteitsdief krijgt 309 jaar cel

Man in de Browser manipuleert internetbankieren

Reacties (20)

19-02-2010, 12:34 door Anoniem

+1 voor Evgeny Legerov

19-02-2010, 12:55 door eMilt

Hebben Duitsland en Frankrijk hun burgers al weer geadviseerd dat ze weer Internet Explorer moet gaan gebruiken ?

19-02-2010, 12:56 door Anoniem

Iedereen aan de sandbox! Voor diegenen met Linux en SELinux:
sandbox -t sandbox_web_t firefox

19-02-2010, 12:59 door Anoniem

Het Deense Secunia adviseert Firefox-gebruikers om voorlopig geen onbetrouwbare websites of links te openen ..

duhhh ... wat is dat nu weer voor open deur. Dat zou hetzelfde zijn om te adviseren om niet te gaan pinnen bij een pin automaat waar twee onbetrouwbare mannen naast staan.

19-02-2010, 13:24 door meinonA

Door eMilt: Hebben Duitsland en Frankrijk hun burgers al weer geadviseerd dat ze weer Internet Explorer moet gaan gebruiken ?

Dus 1 niet verifieerbaar lekje waar nog geen exploit voor is moet iedereen weer naar de continue lekke IE sturen?

Dacht het niet dus...

19-02-2010, 13:38 door [Account Verwijderd]

[Verwijderd]

19-02-2010, 14:11 door Anoniem

ik gebruik firefox 3.5.8 onder Ubuntu Karmic Koala x64 op de laptop.
Maar lig er niet wakker van deze bug,er worden toch iedere dag wel lekken ondekt,omdat geen enkel sysysteem waterdicht is.
Dat wordt toch nooit gered om alles 100% te dichten.
Als er een patch komt voor dit lek,dan is er allang weer een ander lek ondekt.

19-02-2010, 14:41 door Anoniem

Door Anoniem:

Het Deense Secunia adviseert Firefox-gebruikers om voorlopig geen onbetrouwbare websites of links te openen ..

duhhh ... wat is dat nu weer voor open deur. Dat zou hetzelfde zijn om te adviseren om niet te gaan pinnen bij een pin automaat waar twee onbetrouwbare mannen naast staan.

Och, dat gaat ook weer goed zo lang het duurt. Er is al voldoende malware dat doorheeft of het wel of niet in een sandbox draait. Dat kunstje is bekend.

19-02-2010, 16:12 door SirDice

Wat dacht je van al die gehackte advertentie servers die ook "betrouwbare" websites voorzien?

19-02-2010, 17:26 door Anoniem

Er staat in iedergeval een versie 3.6.2 van Firefox in de planning,
er voor deze release wel nog geen datum bekent.
Zie: https://wiki.mozilla.org/Releases

Ik hoop dat ze deze nieuwe fout in Firefox ook mee nemen
in deze release.

19-02-2010, 17:57 door [Account Verwijderd]

[Verwijderd]

19-02-2010, 18:01 door SirDice

Door Peter V:

Door SirDice: Wat dacht je van al die gehackte advertentie servers die ook "betrouwbare" websites voorzien?

Je bedoelt te zeggen dat men al van deze nieuwe lek afwist?

Nee, meer dat ook "betrouwbare" sites onbetrouwbare content kunnen laten zien. En dus de opmerking dat men alleen betrouwbare sites moet bezoeken tegenwoordig niet meer opgaat.

19-02-2010, 18:28 door Anoniem

Browse lekker via mn VM, bootable iso, small client 64 mb memory usage
kom maar op met die digitale viezigheid

19-02-2010, 19:36 door soeperees

Iedereen aan de sandbox! Voor diegenen met Linux en SELinux:
sandbox -t sandbox_web_t firefox

Kan iemand hier iets meer uitleg over geven? Ik heb praktisch geen ervaring met SELinux.
Thx

19-02-2010, 19:50 door cjkos

Door eMilt: Hebben Duitsland en Frankrijk hun burgers al weer geadviseerd dat ze weer Internet Explorer moet gaan gebruiken ?

De vinder heeft het over een interessante uitdaging om te vinden. De makers van malware zijn volgens mij juist lui. De kans dat FF sneller een oplossing vind dan de malware makers het lek is dus groter

20-02-2010, 13:28 door Bitwiper

Door SirDice: dat men alleen betrouwbare sites moet bezoeken tegenwoordig niet meer opgaat.

Tegenwoordig? Voorbeeld uit 2004:
http://news.netcraft.com/archives/2004/08/06/phishing_attacks_using_banner_ads_to_spread_malware.html

20-02-2010, 15:19 door spatieman

Het Deense Secunia adviseert Firefox-gebruikers om voorlopig geen onbetrouwbare websites of links te openen.

Alle websites dus.. xD

20-02-2010, 17:39 door rob

Vermoeiend zeg. Lijkt wel roddelblad waar meteen in word vermeld als een celebrity een scheet laat..
Overigens lijkt dit niet echt op 'responsible disclosure', het was wel zo netjes geweest als de vinder van de bug Mozilla de mogelijkheid had gegeven een bugfix te maken voordat ie z'n ontdekking bekend maakte.

22-02-2010, 13:55 door Anoniem

Gelukkig gebruik ik nog Internet Explorer.. veel veiliger.

23-02-2010, 09:44 door Anoniem

Door rob: Vermoeiend zeg. Lijkt wel roddelblad waar meteen in word vermeld als een celebrity een scheet laat..
Overigens lijkt dit niet echt op 'responsible disclosure', het was wel zo netjes geweest als de vinder van de bug Mozilla de mogelijkheid had gegeven een bugfix te maken voordat ie z'n ontdekking bekend maakte.

Als-ie z'n ontdekking volledige had bekend gemaakt, dan kon Mozilla al een fix bakken.

Ze zijn niet in staat iets te verifieren: ze horen niets anders dan iemand die schreeuwt "ik heb een 0-day! al m'n vrienden vinden 'm vet koel!".

Anderzijds, kunnen ze ook niet doen alsof er niets aan de hand is -- immers, niets is zeker, dus vandaar de lamme waarschuwing geen onbetrouwbare sites te bezoeken. (Sidenote: Wat is betrouwbaar? Dat weet je als consument helemaal niet, ondanks het feit dat de meeste online systemen gesloten zijn, kan de DBA altijd bij alle data.....)

Voorlopig is het alleen nog maar een "gerucht"...

Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Bitcoin:

Vacature

Junior DevOps Engineer

Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?

Lees meer

Vacature

Cybersecurity Trainer / Streamer

Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.

Lees meer

Ik moet ineens mijn portret in mijn Office 365 account stoppen, mag dat?

13-11-2024 door Arnoud Engelfriet

Juridische vraag: Ik werk in de publieke sector bij een organisatie die tussen 500-1000 medewerkers heeft. Vandaag werden wij ...

32 reacties

Lees meer