image

Mozilla dicht ernstig beveiligingslek in Firefox 52

zaterdag 18 maart 2017, 08:18 door Redactie, 5 reacties

Mozilla heeft een tussentijdse patch uitgebracht voor een ernstig beveiligingslek in Firefox 52 dat gebruikt kan worden om een computer over te nemen. De kwetsbaarheid werd afgelopen donderdag tijdens de Pwn2Own-wedstrijd gevonden en aan Mozilla gerapporteerd. Tijdens de jaarlijkse hackwedstrijd wisten onderzoekers ook in Edge en Safari kwetsbaarheden te vinden. Alleen Google Chrome kwam ongeschonden uit de competitie.

De kwetsbaarheid in Firefox is door Mozilla als ernstig aangeduid. Normaliter is het via een ernstig beveiligingslek mogelijk om een computer over te nemen, waarbij het bezoeken van bijvoorbeeld een kwaadaardige website volstaat. In dit geval draaide het kwetsbare onderdeel in de content-sandbox van Firefox en was er een tweede kwetsbaarheid nodig om een computer over te nemen, aldus Mozilla.

Uit de omschrijving van de aanval door Trend Micro, het beveiligingsbedrijf dat de wedstrijd organiseerde, gebruikten de onderzoekers een integer overflow om Firefox te compromitteren en een ongeinitialiseerde buffer in de Windowskernel om hun rechten op het systeem te verhogen. De update naar Firefox 52.0.1 zal op de meeste systemen automatisch plaatsvinden, maar kan ook handmatig via Mozilla.org.

Reacties (5)
18-03-2017, 14:12 door Anoniem
Dit is waarom ik het vertrouwen in de grote gangbare browsers volledig kwijt ben. Ze maken een (veel) te grote inbreuk op je privacy in het algemeen en staan te veel bloot aan aanvallen, specifiek gericht op deze meest gebruikte browsers (zoals daar zijn: firefox en google chrome en in mindere mate de M$ browser varianten, identiek aan M$' systeem explorator).

Daarom gebruik ik nu een meer privacy vriendelijke afgeleide browser, zoals Iridium, Epic Privacy Browser of Watch.
In deze browser draaien de volgende extensies uBlock Origin Web Sockets, uBlock Origin, uMatrix (mijn drie musketiers) en Adguard, TrafficLight, Recx Security Analyser. Behalve bij Watch die heeft nog geen externe extensies beschikbaar.

Hier lezen we dat het probleem met createImageBitmap API en de impact via/op extensies in Firefox helemaal niet nieuw is. De meest recente hack komt uit hetzelfde cookery book: http://forums.mozillazine.org/viewtopic.php?f=38&t=2888507

Ik wens u allen een gezegende en gezellige werkweek toe,

luntrus (website foutenjager)
18-03-2017, 15:27 door Anoniem
Ik heb hem nu ook op mijn mac staan,Firefox 52.0.1
Ik neem aan dat daar voor de mac ook verbeteringen in zitten.
De hele brouwser denk ik voor alle platformen,waarvoor deze beschikbaar is.
18-03-2017, 17:32 door Anoniem
Ook een update naar 52.0.1esr, maar geen update van 45.8.0esr?
Is de fout in 45.8.0esr niet aanwezig of wordt hij niet meer bijgewerkt?
18-03-2017, 20:33 door Briolet
Door Anoniem: Dit is waarom ik het vertrouwen in de grote gangbare browsers volledig kwijt ben. …

…Daarom gebruik ik nu een meer privacy vriendelijke afgeleide browser, zoals Iridium, Epic Privacy Browser of Watch.

Het ligt er een beetje aan in wel deel de leaks zitten. Veel van die kleine browsers gebruiken dezelfde engine als de grote browsers. Een deel van de lekken zal dan ook in de kleine broertjes zitten.

The iridiumbrowser is based on the Chromium code base
19-03-2017, 14:07 door Anoniem
Tor-browser is gebaseerd op Mozilla, malzilla is gebaseerd op Mozilla.
Regent het bij Mozilla, dan zitten alle afgeleide browsers ook aardig "in de drup" zogezegd.

Beste browser beveiliging blijft blokkeren (advertientie en malware blokkeren, (derde partij) script
en server/client verzoeken blokkeren. Vreemd dat een extensie als Request Policy nu bijna verlaten code is,
we hebben tegenwoordig gelukkig uMatrix. (Maar net als NoScript niet iets voor n00bs & dummies).

Kan NoScript ook wel verder als de browsers qua engine steeds meer naar elkaar toekruipen.
Onder chrome was het volgens de maker onmogelijk NoScript te 'porten', hij kreeg gewoon niet voldoende onderliggende toegang van Google tot de code in de browser. Ze houden niet van pottenkijkers bij propriety code!

Onveilig javascript (inline en anderszins) blijft de grootste bedreiging sinds Eich het ontwikkelde in 1994/95.
NoScript is een zeer goed concept omdat het ook zal helpen tegen nog niet bedachte bedreigingen in de toekomst.

uBlock Origin (WebSocket en adblocker) met uMatrix zijn een trio die ik in alle browsergebruikers zou wensen als extensies.Je kan er naar eigen behoefte allerlei blokkeringslijsten in opnemen. uMatrix is overigens als blokker nog beter te tweaken als Giorgio Maone's NoScript.

Kan de browser beveiliging overeind blijven temidden van al het geweld van niet te stoppen traceren en profileren, het data slurp model van de huidige situatie, aangevoerd door de grote globale spelers?

Alle browsers zijn tot in zekere zin lek tot zeer lek, met bekende en nog niet bekende gaten. De beveiligers hebben het met het bewaken van het geheel veel moeilijker dan de 'ethische' hacker (onderzoeker) die aan een klein wormgaatje soms al voldoende heeft.

De mono-cultuur van het moment trekt de meeste bedreigingen aan. Heeft u een Japanse browser in een Europees theater
dan heeft u minder aanvalsoppervlak. De locaal favoriete browser as per default( uit de box) is het gevaarlijkst, want alle ogen zijn dan gericht op K***** (lees firefox of Google of M$ BlueE browser = de Windows systeem explorer), betekent de royale weg die malcode binnenvoert in uw device (computer, peripheral, laptop, android, camera, slimme meter, digitaal horloge etc.)

Aan de andere kant kan iemand die weet heeft, hoe de browser via zijn of haar gedrag schoon te houden is, veel ellende voorkomen. De onnozelaar, die zich niet weet te beschermen, en bij wijze van spreken "overal naar klikt" veroorzaakt de meeste PEBKAC problemen (Het probleem gedefinieerd als zich bevindend tussen toetsenbord en computerstoel, namelijk de constant op het verkeerde been gezette eindgebruiker - geen meelij mee krijgen hoor, ze doen het immers zelf).

Behalve enkele incidentele problemen door junk- en bloatware en een enkele BHO heeft de goed onderlegde browserbladeraar niet veel te vrezen. Een PUP-je af en toe of een valse positiefje is alles. Hij houdt zijn of haar browser lange tijd vrij optimaal schoon. Updaten en CCleaner en MBAM junkware cleaner af en toe overheen gooien. Pronto!

Nog toegevoegd probleem is het probleem van de verminderde TRUST. Wie kan je in de digitale omgeving eigenlijk nog ten volle vertrouwen? Zelfs de tijdelijke WOT CEO bleek de kluit te bel*zeren voor snel gewin en ging alle user-data versjacheren aan de hoogste bieder(s). Geloof dus slechts alleen in jezelf en wat jezelf vastgesteld hebt. Onderzoek alle dingen en behoudt het goede is een andere formulering hiervoor. Zet de graaier de voet dwars.

Ondanks dat we dit alles weten, gaat het circus met vinden van kwetsbaarheden en (tijdelijk) pleisters plakken gewoon door zonder iets te doen aan de onderliggende echte onveiligheid. De infrastructuur zit vol gaten en is echt door en door verrot.

Kom er eens een keer rond vooruit autoriteiten en doe er iets aan zonder 99% van de browsergebruikers in de maling te willen nemen. Mij speldt je niet langer sprookjes op de mouw! Ik heb te veel aan website onveiligheid voor mijn kiezen gekregen in de afgelopen 14 jaar als foutenjager.

De gevestigde interesse om de toestand de toestand te laten, schijnt echter te groot om echt iets fundamenteel te willen veranderen. Jammer, maar het is niet anders in deze wereld.

Allemaal hier een goede zondag gewenst,

luntrus
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.