image

Mozilla: hackers hadden mazzel met Firefox-lek

dinsdag 13 maart 2012, 12:43 door Redactie, 5 reacties

Het lek waardoor Firefox op de derde dag van de Pwn2Own-hackerwedstrijd toch nog werd gehackt, was al door Mozilla gepatcht. De kwetsbaarheid zorgde ervoor dat onderzoekers Vincenzo 'Snagg' Lozzo en Willem 'Dvorak' Pinckaers op het onderliggende Windows 7 systeem willekeurige code kon uitvoeren. Met het lek verdienden de twee 23.000 euro.

Patch
Het lek was echter al opgelost in de bètaversie van Firefox 11 en zou Firefox 10 op een aantal dagen na zijn misgelopen, aldus Mozilla beveiligingschef Daniel Veditz op Twitter. Hij merkt op dat Mozilla nooit beveiligingsupdates noemt totdat er een patch beschikbaar is. "Anders zouden we onze gebruikers aan zero-days blootstellen."

Veditz denkt niet dat de twee hackers de logbestanden hebben doorgespit. "Ik denk het niet, ik denk dat we gewoon geluk hadden om de fix al achter de hand te hebben." Voor vandaag staat Firefox 11 gepland, die Mozilla later deze automatisch onder gebruikers zal verspreiden.

Reacties (5)
13-03-2012, 12:59 door Anoniem
Of het lek al in de scope was doet niet terzake. Het is uitgebuit voordat er een patch was uitgerold.

Ik denk dat gebruikers dagelijks zijn blootgesteld aan zero-days.
Niemand kan garanderen dat er niet ergens booswichten zijn die allerlei niet gemelde lekken uitbuiten.

Wat je niet weet of ziet dat is er niet, dat is struisvogelpolitiek.
13-03-2012, 13:37 door Anoniem
Precies, ook Mozilla moet veel meer z'n best doen om hun browser Firefox veiliger en stabieler te maken. Al dat gekift op anderen, als internetgebruikers schieten we er niks mee op. Sinds FF 7 is er niet zo veel meer gebeurd bij Mozilla.
13-03-2012, 13:43 door Anoniem
Door Anoniem:
Wat je niet weet of ziet dat is er niet, dat is struisvogelpolitiek.

Deels. Uit het artikel valt te lezen dat ze al een patch klaar hadden en deze binnenkort ging uitgerold worden. Als ze bij elk lek die gevonden wordt, hoe klein ook, moeten updaten stoor je de gebruikerservaring volgens sommigen. Ik ben akkoord dat zero days zo snel mogelijk gedicht moeten worden (ook al zijn ze 'nog niet gekend') maar als je over twee dagen al een update gepland hebt, waarom de gebruiker dan twee keer 'storen'?

Gebruikers die er niet veel van af weten beginnen dan misschien onterecht te klagen dat Mozilla 'half werk levert'.


Vanaf Firefox 12 (als volledig op de achtergrond wordt geüpdatet) wordt dit mss anders.
13-03-2012, 13:47 door Mysterio
Door Anoniem: Of het lek al in de scope was doet niet terzake. Het is uitgebuit voordat er een patch was uitgerold.

Ik denk dat gebruikers dagelijks zijn blootgesteld aan zero-days.
Niemand kan garanderen dat er niet ergens booswichten zijn die allerlei niet gemelde lekken uitbuiten.

Wat je niet weet of ziet dat is er niet, dat is struisvogelpolitiek.
Er is geen melding gemaakt van misbruik, dus het zal wel meevallen met je uitbuiting. Daarnaast is niet elke ontwikkelaar zo snel als Google dat er in één week twee nieuwe updates uitkomen.

Aan zero-day lekken valt niet gek veel te doen, iedereen die software gebruikt loopt zero-day lekken risico's. Inderdaad kan niemand garanderen dat er in een product geen zero-day lek zit. Maar waar haal je vandaan dat er iemand aan struisvogelpolitiek doet? Dat mis ik een beetje in jouw verhaal.
17-03-2012, 03:17 door Anoniem
het leuke is dat weer een nederlander de tweede prijs wint.
voor wt betreft de firefox is het meest opvallend hoe snel het exploit kon worden geschreven itt die voor google chrome
dit geeft te denken.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.