Noodpatch voor aangevallen lek in Firefox en Tor Browser
Mozilla en het Tor Project hebben nieuwe versies van Firefox en Tor Browser uitgebracht vanwege een ernstig beveiligingslek dat actief wordt aangevallen en waardoor aanvallers willekeurige code op de computer kunnen uitvoeren. Voor zover bekend zijn alleen gebruikers van beide browsers op Windows het doelwit van de aanvallen geworden. Ook de Linux- en Mac-versies zijn echter kwetsbaar.
JavaScript
De nu waargenomen aanvallen maken gebruik van JavaScript om de kwetsbaarheid uit te buiten. Tor Browser, waarmee internetgebruikers verbinding met het Tor-privacynetwerk kunnen maken, beschikt over een "security slider" waarmee gebruikers het beveiligingsniveau van de browser kunnen aanpassen. Op het hoogste niveau van de security slider wordt JavaScript geblokkeerd. Het Tor Project, dat Tor Browser ontwikkelt, zegt dat gebruikers die de security slider op het hoogste niveau hadden staan waarschijnlijk tegen de aanval beschermd waren.
Volgens Mozilla wilden aanvallers via de kwetsbaarheid het ip-adres en mac-adres van Tor Browser-gebruikers achterhalen. "Deze exploit werkt op dezelfde manier als de "network investigative technique" van de FBI om Tor-gebruikers te ontmaskeren. Deze overeenkomst heeft voor de speculatie gezorgd dat de exploit door de FBI of een andere opsporingsdienst is gemaakt. Vooralsnog weten we niet of dit ook het geval is", zegt Daniel Veditz van Mozilla. "Als deze exploit inderdaad door een overheidsinstantie is ontwikkeld, is het feit dat de exploit nu openbaar is en door iedereen is te gebruiken om Firefox-gebruikers aan te vallen, een duidelijke demonstratie dat naar verluidt het beperkt hacken door de overheid een dreiging voor het hele web kan worden."
De aanval is volgens beveiligingsonderzoeker Dan Guido niet geraffineerd en doet inderdaad denken aan een aanval op Tor Browser-gebruikers van enkele jaren geleden die door de FBI werd uitgevoerd. Wel hekelt hij de beveiliging van Firefox in dit geval. "Dit soort exploits is vanwege geheugenpartitionering veel lastiger te ontwikkelen voor Chrome en Edge, een exploitbescherming die in Firefox ontbreekt." De beveiliging van Firefox ligt vaker onder vuur. Zo is het nog de enige groter browser zonder volledige sandboxbeveiliging. Vanwege de aanvallen krijgen gebruikers van zowel Firefox als Tor Browser op alle platformen het advies om te updaten naar Firefox 50.0.2 of Tor Browser 6.0.7. Dit kan via de automatische updatefunctie of handmatig.
link: http://dshield.org/forums/diary/Unpatched+Vulnerability+in+Firefox+used+to+Attack+Tor+Browser/21769/
Kamerleden, denk na voor je dit wetsvoorstel aanneemt!
Laat ik het anders stellen: Microsoft en andere bedrijven in de VS zijn al jaren verplicht hun lekken en kwetsbaarheden eerst te melden aan de overheid voordat ze de reparatie mogen uitbrengen. Nederland loopt gewoon achter de feiten aan terwijl de NSA het op een presenteerblaadje krijgt.
China en Rusland ontwikkelen al jaren kwetsbaarheden en weten donders goed hoe de VS omgaan met dit soort zaken. Waarom denk je anders dat Poetin af wil van Microsoft producen voor de Russische overheid?
Exacter, aangevuld
In de hoogste stand wordt het weergeven van SVG images geblokkeerd.
De exploit maakt misbruik van SVG functionaliteit.
Javascripts zal je misschien af en toe toch toestaan, in dat geval was de SVG functionaliteit nog steeds geblokkeerd.
De ontwikkelaars hebben nu een patch uitgebracht die dit misbruik voorkomt maar dat SVG functionaliteit niet breekt.
Maar op zich is daar met de hoogste slider setting geen man mee overboord want zoveel komt SVG gebruik ook weer niet voor.
https://www.torproject.org/projects/torbrowser/design/
[ ] Low
At this security level, the preferences are the Torbrowser defaults.
[ ] Medium-Low
At this security level, we disable the ION JIT (javascript.options.ion.content), TypeInference JIT (javascript.options.typeinference), ASM.JS (javascript.options.asmjs), WebAudio (media.webaudio.enabled), MathML (mathml.disabled), block remote JAR files (network.jar.block-remote-files), and make HTML5 audio and video click-to-play via NoScript (noscript.forbidMedia).
[ ] Medium-High
This security level inherits the preferences from the Medium-Low level, and additionally disables the baseline JIT (javascript.options.baselinejit.content), disables Graphite (gfx.font_rendering.graphite.enabled) and SVG OpenType font rendering (gfx.font_rendering.opentype_svg.enabled) and only allows Javascript to run if it is loaded over HTTPS and the URL bar is HTTPS (by setting noscript.global to false and noscript.globalHttpsWhitelist to true).
[ ] High
This security level inherits the preferences from the Medium-Low and Medium-High levels, and additionally disables remote fonts (noscript.forbidFonts), completely disables Javascript (by unsetting noscript.globalHttpsWhitelist), and disables SVG images (svg.in-content.enabled).
Opties ter overweging (onder de about:config)
Stond altijd al uit
Ter overweging dat standaard te doen (ondanks de patch om wat voor reden dan ook)
In één keer helemaal
http://www.w3schools.com/graphics/svg_circle.asp
Tot slot niet te vergeten de weliswaar werkbare maar toch opmerkelijke NoScript setting allow globaal javascripts (excl. third party domeinen, dat dan weer wel)
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
