Ik wil toch iets weten en wellicht weten jullie dit? Als je nu GEEN administrator bent op de pc hoe erg is dit lek dan? Ik neem namelijk aan dat je een UAC venstertje krijgt als de malware wilt installeren?

Wat zou de link met Firefox in dit geval kunnen zijn? Het is wel frappant dat Firefox wordt genoemd aangezien het niet de meest gebruikte browser is en je dus zou verwachten dat op z'n minst een paar andere browsers ook zijn geraakt.

Stel dat je een UAC scherm krijgt dat kun je zelfs als administrator de infectie stoppen. De vraag is echter of er inderdaad een UAC scherm komt want het kan zijn dat alleen de user omgeving wordt geïnfecteerd waardoor er geen systeemrechten nodig zijn. Vergelijkbaar met de installatie en update van bijvoorbeeld Google Chrome.

Je krijgt GEEN UAC venster. Als je als gebruiker surft, dus niet als administrator, loop je net zoveel gevaar. Banking trojans stelen net zo hard je data en hebben geen admin-rechten nodig om schadelijk te zijn en te overleven op je computer. In de praktijk helpt het wel als je zonder admin-rechten surft maar niet heel veel.

dat vroeg ik me ook af. Maar het gaat hier welgeteld om slechts 7 besmettingen en vereist de aanwezigheid van Cisco MeetingPlace Express Add-In. (moet dat geen Add-On zijn?)
- Kan het zijn dat die Add-In er alleen voor Firefox is?
- Of het is een zeer specifieke doelgroep geweest die om een andere reden denkt dat dit een betere browser is.

Met slechts 7 bevestigde besmettingen kun je er geen statistiek op loslaten.

@Briolet/Mysterio: Tor wordt vaak in combinatie met Firefox gebruikt. Kaspersky heeft een hekel aan Tor, dus zal niet toegeven dat dat in Syrië gebruikt wordt. Los van dat Kaspersky Russisch is en waarschijnlijk aan de kant van de regering (Assad) in Syrië staat.

Niet dat ik mij erg druk maak om dit lek. Geen Syrische overheids sites bezoeken en je loopt de komende dagen nog niet zo veel gevaar :-) Dat is dus tot de nieuwe patches gereverse engineerd zijn door cybercriminelen.

Klinkt erg als 'verdwaalde' 'staatshulp hackingsoftware' van "the hacking team"
('gewoon ingekocht', besteld door belanghebbenden?)

http://surveillance.rsf.org/en/hacking-team/
The Enemies of Internet
Special Edition : Surveillance
"Hacking Team describes its lawful interception products as "offensive technology" and has been called into question over deliveries to Morocco and the United Arab Emirates. The company’s "

Firefox biedt oplossingen van 'vrij laag niveau' (begrijpelijk voor 'iedereen')
- Tools > addons > Plugins
Kies voor ; "Ask to activate"

- Tools > addons > Extensions
Installeer een Adblocker, de meeste swf malware betreft aangeboden (fake)advertenties in een iframe met één of ander actief script erin verborgen. Wat je niet laadt aan content kan je niet schaden.

- Tools > addons > Extensions
Iets minder 'vriendelijk' in het gebruik en de configuratie is No-script (ingewikkelde soms onbegrijpelijke opties)

Onder "NoScript Options" > Embeddings kan je een aantal zaken standaard blokkeren die dit soort aanvallen bemoeilijken.
- Forbid Iframes om mee te beginnen
- Forbid Java
- Forbid other plugins
en vele andere keuzemogelijkheden.

Belangrijk is het om de keuze "Ask for confirmation before temporarely unblocking an object" in te schakelen.


Waarom Firefox?
Firefox heeft zeker de naam dat deze browser zelf handmatig veiliger te configureren is. In landen waar dat extra belangrijk is zal een keuze voor deze browser voor de hand liggen. Wanneer je die keuze hebt gemaakt zou je ook verwachten dat je vervolgens deze browser ook voldoende veilig configureert.

Dat is niet waterdicht, want hier is de WateringHole tactiek toegepast; infectie op een plek die mensen juist vertrouwden, waardoor een aantal mensen voldoende vertrouwen hadden om swf content toe te staan en te activeren (en te bekijken).

Wat uiteindelijk mogelijk dan nog had kunnen helpen (tegen infectie) was een handmatige firewall instelling, handmatig beoordelen van elke verbinding die wordt gevraagd en geactiveerd vanaf het moment dat de swf content werd bekeken. Wanneer connectie met een compleet ander domein gevraagd wordt had er een belletje kunnen gaan rinkelen, maar ook die aanpak is niet standaard en biedt geen garantie tegen infectie.
(In ieder geval dan toch in ieder geval standaard en zoveel als werkbaar mogelijk poorten buiten 80 en 443 op slot (afhankelijk van het Os en de applicaties die je gebruikt).
En werken onder een standaard account, mèt wachtwoorden natuurlijk!).

Gezien de specifieke aanval op mogelijk politiek ongewenste personen is het erg onaannemelijk dat betreffende aanvallen breed ingezet gaan worden (dure code hou je als maker voor jezelf).
Aan de andere kant is de code deels openbaar en kan als tactiek in variatie gekopieerd worden. Vandaar het brede patch advies waarschijnlijk.


Tja, en de Google Flash plugin? Dat is een apart verhaal;
https://www.security.nl/posting/384173#posting386065

Wanneer je flash gebruikt onder Tor weet je ook niet goed waar je mee bezig bent. Wat betreft de stellingname in Syrië vind ik dat landen veel te snel partij kiezen in een conflict waar ze niets mee te maken hebben. In Syrië schiet de overheid op burgers en schieten de rebellen op burgers. Wat mij betreft mogen ze beiden omvallen.

Daarom moet je ook een software restriction policy (ook wel applocker policy genoemd) maken die het uitvoeren van
programma's vanaf door de gebruiker schrijfbare locaties (%USERPROFILE%) verbiedt.
Dan kan een user wel software installeren maar die kan die dan niet uitvoeren.

Volgens de naast jouw reactie geplaatste poll is Firefox wel degelijk een veelgebruikte, al dan niet meest gebruikte browser.

Op deze site wellicht. Hoewel de cijfers dubieus zijn worden IE en Google Chrome meer gebruikt. Dat is echter niet het punt.