Cross site scripting lekje in Mozilla
Andreas Sandblad heeft een lekje in de Mozilla browser ontdekt, dat door kwaadaardige personen voor een cross-site scripting aanval misbruikt kan worden. Het lek wordt door een bijzondere race conditie veroorzaakt, waardoor het voor script code in de vorige pagina mogelijk is om in context van de nieuwe pagina te worden uitgevoerd. Dit kan via een speciaal HTML document met meerdere event handlers worden misbruikt. Het lekje is aanwezig in Mozilla 1.2, 1.3, 1.4, 1.5 en 1.6. In versies 1.6b en 1.4.2. is het niet kritieke lek verholpen. De nieuwste versie van Mozilla kan op deze pagina gedownload worden. Meer informatie staat in deze advisory vermeld. (Secunia)
Update: Download locatie Mozilla toegevoegd
geupdate wordt... (zwaarste klus onder de gebruikers)
Nu maar hopen dat er niet een of andere debiel dit gaat
misbruiken, van de cs-s van MSIE heb ik helaas al wat
serieuze pogingen tot misbruik gezien, voornamelijk van
spammers. En dan zeggen mensen nog steeds dat ze geen
virusscanner nodig hebben.....
(zwaarste klus onder de gebruikers)
zou staan, ik kan 'm zo snel niet vinden. Is het soms de
bedoeling om de hele bende opnieuw te installeren ?
extra release, dat is de beta van 1.6 -- de bewering dat
1.6 ook kwetsbaar is klopt dus niet!
Ga dus niet 1.6b over 1.6 heen zitten installeren!
verbreekt het "do not mention the war" pact.
De meeste lekken in Mozilla worden stilzwijgend "ooit"
opgelost. Sandblad
verbreekt het "do not mention the war" pact.
Kun je hier iets meer over vertellen?
De meeste lekken in Mozilla worden stilzwijgend "ooit"
opgelost. Sandblad
verbreekt het "do not mention the war" pact.
Kun je hier iets meer over vertellen?
Het is publiek geheim onder security intimi dat er regelmatig lekken in de
Netscape/Mozilla code worden ontdekt en dat Netscape zich altijd weinig
heeft aangetrokken van beveiligingslekken, patches bestonden niet, zo nu
en dan werd een nieuwe versie uitgerold wanneer het zo uitkwam. Er zijn nu
nog steed zero days voor Netscape Navigator 4.80 in gebruik bij spammers.
Dit patroon zet zich voort met de Mozilla code, ook al is een deel daarvan
in "pseudo beta" (want al in gebruik).
Pers en online roddelbladen als /. vinden zulke lekken niet interessant want
dan gaat de mythe van het 'grote alternatief' aan diggelen. Het valt natuurlijk
niet mee kritiek te hebben op je held.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
