image

Noodpatch voor aangevallen lek in Firefox en Tor Browser

donderdag 1 december 2016, 09:31 door Redactie, 6 reacties

Mozilla en het Tor Project hebben nieuwe versies van Firefox en Tor Browser uitgebracht vanwege een ernstig beveiligingslek dat actief wordt aangevallen en waardoor aanvallers willekeurige code op de computer kunnen uitvoeren. Voor zover bekend zijn alleen gebruikers van beide browsers op Windows het doelwit van de aanvallen geworden. Ook de Linux- en Mac-versies zijn echter kwetsbaar.

JavaScript

De nu waargenomen aanvallen maken gebruik van JavaScript om de kwetsbaarheid uit te buiten. Tor Browser, waarmee internetgebruikers verbinding met het Tor-privacynetwerk kunnen maken, beschikt over een "security slider" waarmee gebruikers het beveiligingsniveau van de browser kunnen aanpassen. Op het hoogste niveau van de security slider wordt JavaScript geblokkeerd. Het Tor Project, dat Tor Browser ontwikkelt, zegt dat gebruikers die de security slider op het hoogste niveau hadden staan waarschijnlijk tegen de aanval beschermd waren.

Volgens Mozilla wilden aanvallers via de kwetsbaarheid het ip-adres en mac-adres van Tor Browser-gebruikers achterhalen. "Deze exploit werkt op dezelfde manier als de "network investigative technique" van de FBI om Tor-gebruikers te ontmaskeren. Deze overeenkomst heeft voor de speculatie gezorgd dat de exploit door de FBI of een andere opsporingsdienst is gemaakt. Vooralsnog weten we niet of dit ook het geval is", zegt Daniel Veditz van Mozilla. "Als deze exploit inderdaad door een overheidsinstantie is ontwikkeld, is het feit dat de exploit nu openbaar is en door iedereen is te gebruiken om Firefox-gebruikers aan te vallen, een duidelijke demonstratie dat naar verluidt het beperkt hacken door de overheid een dreiging voor het hele web kan worden."

De aanval is volgens beveiligingsonderzoeker Dan Guido niet geraffineerd en doet inderdaad denken aan een aanval op Tor Browser-gebruikers van enkele jaren geleden die door de FBI werd uitgevoerd. Wel hekelt hij de beveiliging van Firefox in dit geval. "Dit soort exploits is vanwege geheugenpartitionering veel lastiger te ontwikkelen voor Chrome en Edge, een exploitbescherming die in Firefox ontbreekt." De beveiliging van Firefox ligt vaker onder vuur. Zo is het nog de enige groter browser zonder volledige sandboxbeveiliging. Vanwege de aanvallen krijgen gebruikers van zowel Firefox als Tor Browser op alle platformen het advies om te updaten naar Firefox 50.0.2 of Tor Browser 6.0.7. Dit kan via de automatische updatefunctie of handmatig.

Reacties (6)
01-12-2016, 09:59 door Anoniem
Tevens zijn de Firefox 45.5.1 ESR en Thunderbird 45.5.1 updates uitgekomen.
01-12-2016, 10:23 door Anoniem
Volgens het ISC gaat het inderdaad om de exploit die gebruikt is geweest tegen Tor-browser gebruikers.

link: http://dshield.org/forums/diary/Unpatched+Vulnerability+in+Firefox+used+to+Attack+Tor+Browser/21769/
01-12-2016, 11:02 door [Account Verwijderd]
[Verwijderd]
01-12-2016, 11:45 door Anoniem
Door MAC-user:
"Als deze exploit inderdaad door een overheidsinstantie is ontwikkeld, is het feit dat de exploit nu openbaar is en door iedereen is te gebruiken om Firefox-gebruikers aan te vallen, een duidelijke demonstratie dat naar verluidt het beperkt hacken door de overheid een dreiging voor het hele web kan worden."
Misschien dat de Tweede Kamerleden die zó voor het hackvoorstel willen stemmen, deze bovenstaande quote eens lezen? Als de Nederlandse politie mag terughacken met dit soort technieken, dan zet je in feite het hele internet open voor jan-de-crimineel en verzwak je de systemen van de meeste internetgebruikers.

Kamerleden, denk na voor je dit wetsvoorstel aanneemt!
Haha, kamerleden... grapjas. Dat wetsvoorstel is niets meer dan meegaan in een weg die andere overheden al jaren bewandelen. Maak je geen illusies dat dit wetsvoorstel ook maar enig effect gaat hebben op de wereldwijde ontwikkelingen op dit gebied.

Laat ik het anders stellen: Microsoft en andere bedrijven in de VS zijn al jaren verplicht hun lekken en kwetsbaarheden eerst te melden aan de overheid voordat ze de reparatie mogen uitbrengen. Nederland loopt gewoon achter de feiten aan terwijl de NSA het op een presenteerblaadje krijgt.

China en Rusland ontwikkelen al jaren kwetsbaarheden en weten donders goed hoe de VS omgaan met dit soort zaken. Waarom denk je anders dat Poetin af wil van Microsoft producen voor de Russische overheid?
01-12-2016, 12:29 door Anoniem
Laat ik het anders stellen: Microsoft en andere bedrijven in de VS zijn al jaren verplicht hun lekken en kwetsbaarheden eerst te melden aan de overheid voordat ze de reparatie mogen uitbrengen. Nederland loopt gewoon achter de feiten aan terwijl de NSA het op een presenteerblaadje krijgt.
Haha..mag ik effe de bron zien? Waar staat dat? Wel officieel hè, en dus geen kletspraatjes op blogs en zo.
01-12-2016, 14:02 door Anoniem
Op het hoogste niveau van de security slider wordt JavaScript geblokkeerd.


Exacter, aangevuld

In de hoogste stand wordt het weergeven van SVG images geblokkeerd.
De exploit maakt misbruik van SVG functionaliteit.
Javascripts zal je misschien af en toe toch toestaan, in dat geval was de SVG functionaliteit nog steeds geblokkeerd.

De ontwikkelaars hebben nu een patch uitgebracht die dit misbruik voorkomt maar dat SVG functionaliteit niet breekt.
Maar op zich is daar met de hoogste slider setting geen man mee overboord want zoveel komt SVG gebruik ook weer niet voor.

https://www.torproject.org/projects/torbrowser/design/

The Security Slider consists of four positions:

[ ] Low

At this security level, the preferences are the Torbrowser defaults.

[ ] Medium-Low

At this security level, we disable the ION JIT (javascript.options.ion.content), TypeInference JIT (javascript.options.typeinference), ASM.JS (javascript.options.asmjs), WebAudio (media.webaudio.enabled), MathML (mathml.disabled), block remote JAR files (network.jar.block-remote-files), and make HTML5 audio and video click-to-play via NoScript (noscript.forbidMedia).

[ ] Medium-High

This security level inherits the preferences from the Medium-Low level, and additionally disables the baseline JIT (javascript.options.baselinejit.content), disables Graphite (gfx.font_rendering.graphite.enabled) and SVG OpenType font rendering (gfx.font_rendering.opentype_svg.enabled) and only allows Javascript to run if it is loaded over HTTPS and the URL bar is HTTPS (by setting noscript.global to false and noscript.globalHttpsWhitelist to true).

[ ] High

This security level inherits the preferences from the Medium-Low and Medium-High levels, and additionally disables remote fonts (noscript.forbidFonts), completely disables Javascript (by unsetting noscript.globalHttpsWhitelist), and disables SVG images (svg.in-content.enabled).

Opties ter overweging (onder de about:config)

Stond altijd al uit
gfx.font_rendering.graphite.enabled;false

Ter overweging dat standaard te doen (ondanks de patch om wat voor reden dan ook)
gfx.font_rendering.opentype_svg.enabled;false

In één keer helemaal
svg.in-content.enabled;false
Check het resultaat hier onder de "try it" button (javascript van w3schools en google.apis toestaan)
http://www.w3schools.com/graphics/svg_circle.asp
Sorry, your browser does not support inline SVG.
Dat was de bedoeling.

Tot slot niet te vergeten de weliswaar werkbare maar toch opmerkelijke NoScript setting allow globaal javascripts (excl. third party domeinen, dat dan weer wel)
noscript.globalHttpsWhitelist;false
En dus websites niet permanent whitelisten maar altijd alleen tijdelijk.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.