image

Mozilla: slechts drie Firefox zero-days sinds 2010

woensdag 31 oktober 2012, 17:24 door Redactie, 8 reacties

Sinds 2010 zijn er in Firefox drie publieke zero-day beveiligingslekken ontdekt waarvoor nog geen update beschikbaar was, zo laat de browserontwikkelaar weten. De afgelopen weken moest Mozilla twee keer met een noodpatch voor lekken in Firefox 16 komen. Dat geeft alleen aan hoe open en transparant Mozilla werkt, aldus Michael Coates.

"We melden al onze beveiligingsproblemen aan het publiek. We tonen niet alleen lekken als iemand anders een probleem bespreekt of het voor ons uitkomen. We zijn uit principe open en transparant." Zowel Microsoft als Adobe melden bijvoorbeeld geen beveiligingslekken die de bedrijven zelf vinden.

Gebruikers
"Als er een beveiligingslek is dat onze gebruikers raakt, vertellen we iedereen wat we weten, wat het voor onze gebruikers betekent en wat we doen om het op te lossen. Het is onze belofte om deze informatie aan onze gebruikers te vertellen zodra we het weten en het probleem zo snel als mogelijk op te lossen."

Om beveiligingslekken zelf te vinden volgt Mozilla een Secure Software Development Lifecycle. Verschillende maatregelen om de browser te testen, zoals fuzzing, een beloningsprogramma voor hackers die lekken rapporteren en het uitvoeren van penetratietests. Onlangs werd bekend dat in Internet Explorer in 2011 en 2012 zeker zes zero-days waren ontdekt.

Reacties (8)
31-10-2012, 17:34 door Anoniem
Alle lekken zijn "zero days" op een punt in de tijd. De lek is er, maar het is alleen nog niet bekend gemaakt.

Ben je een groter doelwit voor exploiters, dan heb je waarschijnlijk meer zero days. Dus of Mozilla zich hiermee op de borst kan kloppen is de vraag.
31-10-2012, 18:29 door Anoniem
Door Anoniem: Alle lekken zijn "zero days" op een punt in de tijd. De lek is er, maar het is alleen nog niet bekend gemaakt.

Ben je een groter doelwit voor exploiters, dan heb je waarschijnlijk meer zero days. Dus of Mozilla zich hiermee op de borst kan kloppen is de vraag.
Zo is dat. Of exploits zero-day genoemd kunnen worden zegt meer over hoe de ontdekkers er mee omgaan dan om het product zelf.
31-10-2012, 18:49 door Anoniem
Door Anoniem: Alle lekken zijn "zero days" op een punt in de tijd. De lek is er, maar het is alleen nog niet bekend gemaakt.

Ben je een groter doelwit voor exploiters, dan heb je waarschijnlijk meer zero days. Dus of Mozilla zich hiermee op de borst kan kloppen is de vraag.
U begrijp er niets van! IE gebruiker?
Het volgende haal ik van https://krebsonsecurity.com/

"In a Zero-Day World, It’s Active Attacks that Matter

Unlike Google Chrome and Mozilla Firefox users, IE users were exposed to active attacks against unpatched, critical vulnerabilities for months at a time over the past year and a half." !!!!!!!!!!

Micro$hoft deed NIETS aan in de praktijk gebruikte exploits! Pas toen de Duitse overheid met het advies kwam om de Gatenkaas om te ruilen voor FF, kwam met MS met noodpatches.

In WebUser nr. 302 van 4 oktober, pagina 8, kunt U lezen dat beveiligingsexperts, ondanks de MS patches, NU nog steeds afraden om IE te gebruiken!!
31-10-2012, 19:10 door Anoniem
Door Anoniem: Alle lekken zijn "zero days" op een punt in de tijd. De lek is er, maar het is alleen nog niet bekend gemaakt.

Ben je een groter doelwit voor exploiters, dan heb je waarschijnlijk meer zero days. Dus of Mozilla zich hiermee op de borst kan kloppen is de vraag.

Weer een IE huilebalk.
"Attackers exploited zero-day holes in Internet Explorer for at least 89 days over the past 19 months." !!!! Wel even een verschil. Het gaat om het ACTIEVE misbruik waar MS niets of te laat iets aan doet, terwijl ze wel op de hoogte waren!
Te druk met zakken vullen natuurlijk.
31-10-2012, 19:22 door Anoniem
Door Anoniem: Alle lekken zijn "zero days" op een punt in de tijd. De lek is er, maar het is alleen nog niet bekend gemaakt.

Ben je een groter doelwit voor exploiters, dan heb je waarschijnlijk meer zero days. Dus of Mozilla zich hiermee op de borst kan kloppen is de vraag.
U laat zich niet hinderen door enige vorm van kennis. Bravo.

"If we count just the critical zero-days, there were at least 89 non-overlapping days (about three months) between the beginning of 2011 and Sept. 2012 in which IE zero-day vulnerabilities were ACTIVELY being exploited. That number is almost certainly conservative, because I could find no data on the window of vulnerability for CVE-2011-0094, a critical zero-day flaw fixed in MS11-018 that Microsoft said was being attacked prior to releasing a patch for it. This analysis also does not include CVE-2011-1345, a vulnerability demonstrated at the Pwn2Pwn contest in 2011."
Brian Krebs.
01-11-2012, 09:48 door Anoniem
Door Anoniem:
Door Anoniem: Alle lekken zijn "zero days" op een punt in de tijd. De lek is er, maar het is alleen nog niet bekend gemaakt.

Ben je een groter doelwit voor exploiters, dan heb je waarschijnlijk meer zero days. Dus of Mozilla zich hiermee op de borst kan kloppen is de vraag.
U begrijp er niets van! IE gebruiker?
Het volgende haal ik van https://krebsonsecurity.com/

"In a Zero-Day World, It’s Active Attacks that Matter

Unlike Google Chrome and Mozilla Firefox users, IE users were exposed to active attacks against unpatched, critical vulnerabilities for months at a time over the past year and a half." !!!!!!!!!!

Micro$hoft deed NIETS aan in de praktijk gebruikte exploits! Pas toen de Duitse overheid met het advies kwam om de Gatenkaas om te ruilen voor FF, kwam met MS met noodpatches.

In WebUser nr. 302 van 4 oktober, pagina 8, kunt U lezen dat beveiligingsexperts, ondanks de MS patches, NU nog steeds afraden om IE te gebruiken!!

Lol wat een onzin, met die duitse (en nederlandse) regering was een nieuw lek en die was binnen 4 dagen was er een patch beschikbaar. Duurde wat langer voordat het via windows update verspreid werd, maar goed. policy, zo gigantisch ernstig was het niet en het misbruik was verwaarloosbaar, dat het mee ging in de patch tuesday ipv critical push.

Als je af en toe rond kijkt, moet je zien hoe Google met Chrome omgaat en Mozilla met FF.
Chrome word vaak als 'veiligst' geacht, terwijl dat onzin is. Zelfs een door Google zelf gesponsord (en onder het tapijt geveegde) onderzoek kwam uit naar voren dat Chrome vaker exploits had en het langer duurde voor deze gefixed werd dan IE. Dat onderzoek is nog van dit jaar.

Mozilla heeft het altijd slechter gedaan dan IE en Chrome kwa beveiliging, dat is nooit iets nieuws geweest.

Men vergeet dat exploits bij IE vaak niet door de sandbox op het systeem komen en binnen de browser blijven en weg zijn zodra je de browser sluit.
Duurde 1,5 jaar voordat de IE8 sandbox gekraakt was, daarvoor waren alle exploits binnen de browser te houden en konden ze verder nergens bij en waren ze weg zodra de browser gesloten werd.
IE9 hield het ongeveer 7 maanden vol voor deze sandbox doorbroken was.
Zelfs IE7 hield het 4 of 5 maanden vol als ik het nog goed heb,
Chrome's eerste paar sandboxen waren elke keer binnen een week of 2 gekraakt. Stelt geen zak voor.

Daarnaast heeft IE9 de zwakte dat als UAC uitstaat, de sandbox zwakker is, DEP er niet inzit, ASLR ook niet veel meer helpt En de mappen C:\windows C:\users en C:\program files niet meer goed beveiligd zijn. En er zijn veelste veel mensen die UAC uitschakelen.IE9 zonder UAC is niet beter als Mozilla/Chrome kwa beveiliging.

IE10 met al zijn beveilingen aan is ook nog ongekraakt, deze is ook al weer een paar maandjes beschikbaar voor de exploiters... Als IE zo slecht is, ik zie je graag de beveiliging van IE10 64bit kraken. Moet je fluitend kunnen lijkt me zo.
01-11-2012, 09:51 door Anoniem
Door Anoniem:
Door Anoniem: Alle lekken zijn "zero days" op een punt in de tijd. De lek is er, maar het is alleen nog niet bekend gemaakt.

Ben je een groter doelwit voor exploiters, dan heb je waarschijnlijk meer zero days. Dus of Mozilla zich hiermee op de borst kan kloppen is de vraag.

Weer een IE huilebalk.
"Attackers exploited zero-day holes in Internet Explorer for at least 89 days over the past 19 months." !!!! Wel even een verschil. Het gaat om het ACTIEVE misbruik waar MS niets of te laat iets aan doet, terwijl ze wel op de hoogte waren!
Te druk met zakken vullen natuurlijk.
Hoeveel van die exploits waren voor IE7/8?
Hoeveel hiervan kwamen door de sandbox van IE9 heen?

Niet helemaal eerlijk de vergelijking te gooien tegen browsers die al wat jaartjes achterlopen, o.a. op een OS (XP) wat een enorme batterij aan beveiligingen mist.
Alsof 5 jaar oude FF/Chrome releases zo goed beveiligd zijn...

Ook zie ik jou graag zelf door de IE10 64bit sandboxing heenkomen. Duurt ook al weer een paar maandjes.
02-11-2012, 16:03 door Joep Lunaar
Tussen een gebrek aan bronvermelding en de onjuistheid van uitspraken bestaat een positieve relatie.
Voor deze uitspraak laat ik uit luiheid een een bronvermelding achterwege.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.