Security lek in Mozilla Thunderbird en Firefox
Joshua Perrymon heeft een lek in Mozilla, Mozilla Firefox en Mozilla Thunderbird ontdekt, waardoor kwaadaardige websites de Windows "shell:" functionaliteit kunnen gebruiken. Het probleem is dat Mozilla de toegang tot de "shell:" URI handler niet beperkt. Dit stelt websites in staat om verschillende programma's, die met specifieke extenties geassocieerd zijn, aan te roepen. Het is alleen mogelijk om bestandsnamen, en geen parameters, aan deze programma's door te geven, waardoor het starten van applicaties beperkt wordt. Wordt de bug met een fout of lek in een geassocieerd programma gecombineerd, dan zou het mogelijk zijn om willekeurige code uit te voeren. Volgens Secunia hoeft de bug niet persé als een lek gezien te worden. Het "lek" is alleen aanwezig in de Windows versies van de betreffende programma's, Mac en Linux gebruikers hoeven geen actie te ondernemen. Meer informatie en patches kunnen op deze pagina gevonden worden.
Reacties (28)
ooooh er zitten ook lekken in mozilla.. laat de flame war maar weer
beginnen! :-/
Ik zal alvast een begin maken...
Zie je wel!! IE is veel beter!!
.......
beginnen! :-/
Ik zal alvast een begin maken...
Zie je wel!! IE is veel beter!!
.......
Laten we realistischer Zijn : Zoals ik al veel eerder Zei : "Geen enkel
programma heeft 0 % fouten"
Dus ook niet IE maar Zeker ook niet Mozilla Thunderbird en Firefox en Linux
programma heeft 0 % fouten"
Dus ook niet IE maar Zeker ook niet Mozilla Thunderbird en Firefox en Linux
OMG
Ik ben het geheel eens met anoniempje nr 2
=)
Ik ben het geheel eens met anoniempje nr 2
linuxlinuxlinuxlinuxlinuxlinuxlinuxlinuxlinuxlinuxlinux
=)
Door Anoniem
ooooh er zitten ook lekken in mozilla.. laat de flame war
maar weer
beginnen! :-/
Dat is niet nodig hoor. Het lek is al gedicht. Dit inooooh er zitten ook lekken in mozilla.. laat de flame war
maar weer
beginnen! :-/
tegenstelling tot vele IE lekken.
Raar, nadat ik de patch geinstalleerd had, gaf mijn
virusscanner een waarschuwing dat de trojan Briss.H
gedownload werd en zat verstopt in het bestand
xpinstall.exe. Het leek erop dat dit te maken had met het
installeren van de patch. Maar hopen dat dat niet het geval
is. Gelukkig kan Norman de trojan verwijderen. Wees
gewaarschuwd.
virusscanner een waarschuwing dat de trojan Briss.H
gedownload werd en zat verstopt in het bestand
xpinstall.exe. Het leek erop dat dit te maken had met het
installeren van de patch. Maar hopen dat dat niet het geval
is. Gelukkig kan Norman de trojan verwijderen. Wees
gewaarschuwd.
Door Anoniem
Laten we realistischer Zijn : Zoals ik al veel eerder Zei :
"Geen enkel
programma heeft 0 % fouten"
Dus ook niet IE maar Zeker ook niet Mozilla Thunderbird en
Firefox en Linux
Laten we realistischer Zijn : Zoals ik al veel eerder Zei :
"Geen enkel
programma heeft 0 % fouten"
Dus ook niet IE maar Zeker ook niet Mozilla Thunderbird en
Firefox en Linux
Helemaal mee eens, waar het nu om gaat : hoe lang duurt het
voordat het is gefixed... oh wat schetst mijn verbazing...
(NOT) de fix is er al
http://www.mozilla.org/security/shell.html en dat binnen 1
dag -- dat is een betere score dan MS waar het een 1/2 jaar
moet duuren voordat iets is gefixed.....
uhm.... Hackers die zulk soort fouten vinden, wachten met
het vertellen hiervan totdat de patch uit is. Met IE is het
zo dat er ook veel mensen die ongure praktijken uitvoeren
lekker ontdekken. Als zij dus een lek ontdekken melden zij
dit niet aan MS, maar gaan het gebruiken. Daardoor kan MS
geen patch uitbrengen voordat de lek bekend word gemaakt.
Dit soort mensen gaan niet op zoek naar bugs voor firefox
oid, omdat deze browser voor hun absoluut niet aantrekkelijk
is, omdat zo weinig mensen het gebruiken.
Ik moet wel zeggen dat ik het uitstekend vind dat er ook een
keertje een bug word vermeld in het programma wat iedereen
hier wilt groot maken.
Nu ook nog Linux fouten melden, en security.nl word een
echte security nieuwssite!
het vertellen hiervan totdat de patch uit is. Met IE is het
zo dat er ook veel mensen die ongure praktijken uitvoeren
lekker ontdekken. Als zij dus een lek ontdekken melden zij
dit niet aan MS, maar gaan het gebruiken. Daardoor kan MS
geen patch uitbrengen voordat de lek bekend word gemaakt.
Dit soort mensen gaan niet op zoek naar bugs voor firefox
oid, omdat deze browser voor hun absoluut niet aantrekkelijk
is, omdat zo weinig mensen het gebruiken.
Ik moet wel zeggen dat ik het uitstekend vind dat er ook een
keertje een bug word vermeld in het programma wat iedereen
hier wilt groot maken.
Nu ook nog Linux fouten melden, en security.nl word een
echte security nieuwssite!
Volgens mij zie ik links op de site zowel Suse als Debian
advisories. Dus wat is je probleem?
advisories. Dus wat is je probleem?
Door Anoniem
uhm.... Hackers die zulk soort fouten vinden, wachten met
het vertellen hiervan totdat de patch uit is. Met IE is het
zo dat er ook veel mensen die ongure praktijken uitvoeren
lekker ontdekken. Als zij dus een lek ontdekken melden zij
dit niet aan MS, maar gaan het gebruiken. Daardoor kan MS
geen patch uitbrengen voordat de lek bekend word gemaakt.
Dit soort mensen gaan niet op zoek naar bugs voor firefox
oid, omdat deze browser voor hun absoluut niet aantrekkelijk
is, omdat zo weinig mensen het gebruiken.
twee opmerkingen:uhm.... Hackers die zulk soort fouten vinden, wachten met
het vertellen hiervan totdat de patch uit is. Met IE is het
zo dat er ook veel mensen die ongure praktijken uitvoeren
lekker ontdekken. Als zij dus een lek ontdekken melden zij
dit niet aan MS, maar gaan het gebruiken. Daardoor kan MS
geen patch uitbrengen voordat de lek bekend word gemaakt.
Dit soort mensen gaan niet op zoek naar bugs voor firefox
oid, omdat deze browser voor hun absoluut niet aantrekkelijk
is, omdat zo weinig mensen het gebruiken.
1: heb je bewijzen voor deze uitspraak? En niet aankomen met
"argumenten" als "iedereen weet toch dat" en zo.
2: Oooohhhhhhh...arme Microsoft.... je hebt zeker aandelen
in die toko dat je er zo veel medelijden mee hebt!
Ik moet wel zeggen dat ik het uitstekend vind dat er ook een
keertje een bug word vermeld in het programma wat iedereen
hier wilt groot maken.
Nu ook nog Linux fouten melden, en security.nl word een
echte security nieuwssite!
Jij hebt echt een complex. Arme jongen....praat eens met een
psychiater!
Nou, Mozilla is in ieder geval wel heel erg snel met een
patch, dat kunnen we van M$ niet zeggen met die brakke
patches van hun.
patch, dat kunnen we van M$ niet zeggen met die brakke
patches van hun.
Als verstokte MS gebruiker,
sinds 3 weken alternatief aan het proberen,
moet ik zeggen dat ik redelijk aan het omgaan ben.
Over het algemeen werkt het goed en snel,
en nu sta ik dus helemaal versteld.
Ik lees hier net over dat gevonden lek
(vlg mij valt deze wel mee trouwens)
en meteen staat de link met de patch er bij.
Das wel erg snel, heel goed.
sinds 3 weken alternatief aan het proberen,
moet ik zeggen dat ik redelijk aan het omgaan ben.
Over het algemeen werkt het goed en snel,
en nu sta ik dus helemaal versteld.
Ik lees hier net over dat gevonden lek
(vlg mij valt deze wel mee trouwens)
en meteen staat de link met de patch er bij.
Das wel erg snel, heel goed.
Door Anoniem
Als verstokte MS gebruiker,
sinds 3 weken alternatief aan het proberen,
moet ik zeggen dat ik redelijk aan het omgaan ben.
Over het algemeen werkt het goed en snel,
en nu sta ik dus helemaal versteld.
Ik lees hier net over dat gevonden lek
(vlg mij valt deze wel mee trouwens)
en meteen staat de link met de patch er bij.
Das wel erg snel, heel goed.
Als verstokte MS gebruiker,
sinds 3 weken alternatief aan het proberen,
moet ik zeggen dat ik redelijk aan het omgaan ben.
Over het algemeen werkt het goed en snel,
en nu sta ik dus helemaal versteld.
Ik lees hier net over dat gevonden lek
(vlg mij valt deze wel mee trouwens)
en meteen staat de link met de patch er bij.
Das wel erg snel, heel goed.
Ik kan je alleen maar complimenteren met het feit dat je
open staat voor alternatieven!
Door Anoniem
Dank je
Hier las ik de nimmer aflatende strijd :)
tussen IE en alternatief,
er zaten soms best wel argumenten tussen
en dan combineer ik financieel met alternatief
en ga het proberen, met goed resultaat.
Dus eigenlijk behoorlijk eigenbelang :)
Eigenlijk zou er 1 post moeten komen die
de voor- en nadelen van IE en alternatief op een rijtje zet,
zonder "strijd" waarmee de niet voorstander/liefhebber
van IE of alternatief uit de voeten kan.
Te vaak lees je nu persoonlijke meningen en strijd.
Ik kan je alleen maar complimenteren met het feit dat je
open staat voor alternatieven!
Door Anoniem
Als verstokte MS gebruiker,
sinds 3 weken alternatief aan het proberen,
moet ik zeggen dat ik redelijk aan het omgaan ben.
Over het algemeen werkt het goed en snel,
en nu sta ik dus helemaal versteld.
Ik lees hier net over dat gevonden lek
(vlg mij valt deze wel mee trouwens)
en meteen staat de link met de patch er bij.
Das wel erg snel, heel goed.
Als verstokte MS gebruiker,
sinds 3 weken alternatief aan het proberen,
moet ik zeggen dat ik redelijk aan het omgaan ben.
Over het algemeen werkt het goed en snel,
en nu sta ik dus helemaal versteld.
Ik lees hier net over dat gevonden lek
(vlg mij valt deze wel mee trouwens)
en meteen staat de link met de patch er bij.
Das wel erg snel, heel goed.
Dank je
Hier las ik de nimmer aflatende strijd :)
tussen IE en alternatief,
er zaten soms best wel argumenten tussen
en dan combineer ik financieel met alternatief
en ga het proberen, met goed resultaat.
Dus eigenlijk behoorlijk eigenbelang :)
Eigenlijk zou er 1 post moeten komen die
de voor- en nadelen van IE en alternatief op een rijtje zet,
zonder "strijd" waarmee de niet voorstander/liefhebber
van IE of alternatief uit de voeten kan.
Te vaak lees je nu persoonlijke meningen en strijd.
Ik kan je alleen maar complimenteren met het feit dat je
open staat voor alternatieven!
Door Anoniem
Ik kan je alleen maar complimenteren met het feit dat je
open staat voor alternatieven!
Door Anoniem
Als verstokte MS gebruiker,
sinds 3 weken alternatief aan het proberen,
moet ik zeggen dat ik redelijk aan het omgaan ben.
Over het algemeen werkt het goed en snel,
en nu sta ik dus helemaal versteld.
Ik lees hier net over dat gevonden lek
(vlg mij valt deze wel mee trouwens)
en meteen staat de link met de patch er bij.
Das wel erg snel, heel goed.
Als verstokte MS gebruiker,
sinds 3 weken alternatief aan het proberen,
moet ik zeggen dat ik redelijk aan het omgaan ben.
Over het algemeen werkt het goed en snel,
en nu sta ik dus helemaal versteld.
Ik lees hier net over dat gevonden lek
(vlg mij valt deze wel mee trouwens)
en meteen staat de link met de patch er bij.
Das wel erg snel, heel goed.
Ik kan je alleen maar complimenteren met het feit dat je
open staat voor alternatieven!
Dank je
Hier las ik de nimmer aflatende strijd :)
tussen IE en alternatief,
er zaten soms best wel argumenten tussen
en dan combineer ik financieel met alternatief
en ga het proberen, met goed resultaat.
Dus eigenlijk behoorlijk eigenbelang :)
Eigenlijk zou er 1 post moeten komen die
de voor- en nadelen van IE en alternatief op een rijtje zet,
zonder "strijd" waarmee de niet voorstander/liefhebber
van IE of alternatief uit de voeten kan.
Te vaak lees je nu persoonlijke meningen en strijd.
Door Anoniem
1: heb je bewijzen voor deze uitspraak? En niet aankomen met
"argumenten" als "iedereen weet toch dat" en zo.
2: Oooohhhhhhh...arme Microsoft.... je hebt zeker aandelen
in die toko dat je er zo veel medelijden mee hebt!
2 opmerkingen:Door Anoniem
uhm.... Hackers die zulk soort fouten vinden, wachten met
het vertellen hiervan totdat de patch uit is. Met IE is het
zo dat er ook veel mensen die ongure praktijken uitvoeren
lekker ontdekken. Als zij dus een lek ontdekken melden zij
dit niet aan MS, maar gaan het gebruiken. Daardoor kan MS
geen patch uitbrengen voordat de lek bekend word gemaakt.
Dit soort mensen gaan niet op zoek naar bugs voor firefox
oid, omdat deze browser voor hun absoluut niet aantrekkelijk
is, omdat zo weinig mensen het gebruiken.
twee opmerkingen:uhm.... Hackers die zulk soort fouten vinden, wachten met
het vertellen hiervan totdat de patch uit is. Met IE is het
zo dat er ook veel mensen die ongure praktijken uitvoeren
lekker ontdekken. Als zij dus een lek ontdekken melden zij
dit niet aan MS, maar gaan het gebruiken. Daardoor kan MS
geen patch uitbrengen voordat de lek bekend word gemaakt.
Dit soort mensen gaan niet op zoek naar bugs voor firefox
oid, omdat deze browser voor hun absoluut niet aantrekkelijk
is, omdat zo weinig mensen het gebruiken.
1: heb je bewijzen voor deze uitspraak? En niet aankomen met
"argumenten" als "iedereen weet toch dat" en zo.
2: Oooohhhhhhh...arme Microsoft.... je hebt zeker aandelen
in die toko dat je er zo veel medelijden mee hebt!
1: Hacker ethics. Zie
[url=http://www.google.nl/search?q=hacker+ethics&ie=UTF-8&hl=nl&btnG=Google+zoeken&lr=]Google[/url]
2. Ik heb geen medelijden met microsoft. Ook heb ik geen
aandelen. Ik vertel gewoon een aantal feiten die een aantal
mensen niet weten. Aan je post te zien jij bijvoorbeeld.
Ik moet wel zeggen dat ik het uitstekend vind dat er ook een
keertje een bug word vermeld in het programma wat iedereen
hier wilt groot maken.
Nu ook nog Linux fouten melden, en security.nl word een
echte security nieuwssite!
Jij hebt echt een complex. Arme jongen....praat eens met een
psychiater!
Door Anoniem
Volgens mij zie ik links op de site zowel Suse als Debian
advisories. Dus wat is je probleem?
Dat is waar, maar als er een ernstig lek in een linux kernelVolgens mij zie ik links op de site zowel Suse als Debian
advisories. Dus wat is je probleem?
word gevonden, staat het niet op security.nl. Persoonlijk
zou ik het prettig vinden als dit wel zo zou zijn. Scheelt
een hoop kijken op andere sites.
Door Anoniem
1: Hacker ethics. Zie
[url=http://www.google.nl/search?q=hacker+ethics&ie=UTF-8&hl=nl&btnG=Google+zoeken&lr=]Google[/url]
2. Ik heb geen medelijden met microsoft. Ook heb ik geen
aandelen. Ik vertel gewoon een aantal feiten die een aantal
mensen niet weten. Aan je post te zien jij bijvoorbeeld.
Nee, je gaat er van uit dat mensen die bugs in Microsoft
software vinden deze bugs niet aan Microsoft melden, maar
direct op internet gooien, terwijl bugs in software van
andere leveranciers eerst gemeld worden. Je draagt geen
enkel argument aan voor deze stelling en gaat mij vervolgens
iets wijs maken over hacker ethics (waar je nota bene nog
een google link voor nodig hebt ook...shame on you!).
Je noemt geen enkel feit, je blaat alleen wat in de lucht.
Je hebt dus een stelling, en geen enkel argument om die te
onderbouwen. Laat staan feiten. Leer eens discusseren, dan
leer je vanzelf wat een feit is, wat een argument is en wat
een stelling is.
Ik moet wel zeggen dat ik het uitstekend vind dat er ook een
keertje een bug word vermeld in het programma wat iedereen
hier wilt groot maken.
Nu ook nog Linux fouten melden, en security.nl word een
echte security nieuwssite!
Jij hebt echt een complex. Arme jongen....praat eens met een
psychiater!uhm..... ??
Nou, denk eens na wat je zegt. Security.nl is echt geenDoor Anoniem
1: heb je bewijzen voor deze uitspraak? En niet aankomen met
"argumenten" als "iedereen weet toch dat" en zo.
2: Oooohhhhhhh...arme Microsoft.... je hebt zeker aandelen
in die toko dat je er zo veel medelijden mee hebt!
2 opmerkingen:Door Anoniem
uhm.... Hackers die zulk soort fouten vinden, wachten met
het vertellen hiervan totdat de patch uit is. Met IE is het
zo dat er ook veel mensen die ongure praktijken uitvoeren
lekker ontdekken. Als zij dus een lek ontdekken melden zij
dit niet aan MS, maar gaan het gebruiken. Daardoor kan MS
geen patch uitbrengen voordat de lek bekend word gemaakt.
Dit soort mensen gaan niet op zoek naar bugs voor firefox
oid, omdat deze browser voor hun absoluut niet aantrekkelijk
is, omdat zo weinig mensen het gebruiken.
twee opmerkingen:uhm.... Hackers die zulk soort fouten vinden, wachten met
het vertellen hiervan totdat de patch uit is. Met IE is het
zo dat er ook veel mensen die ongure praktijken uitvoeren
lekker ontdekken. Als zij dus een lek ontdekken melden zij
dit niet aan MS, maar gaan het gebruiken. Daardoor kan MS
geen patch uitbrengen voordat de lek bekend word gemaakt.
Dit soort mensen gaan niet op zoek naar bugs voor firefox
oid, omdat deze browser voor hun absoluut niet aantrekkelijk
is, omdat zo weinig mensen het gebruiken.
1: heb je bewijzen voor deze uitspraak? En niet aankomen met
"argumenten" als "iedereen weet toch dat" en zo.
2: Oooohhhhhhh...arme Microsoft.... je hebt zeker aandelen
in die toko dat je er zo veel medelijden mee hebt!
1: Hacker ethics. Zie
[url=http://www.google.nl/search?q=hacker+ethics&ie=UTF-8&hl=nl&btnG=Google+zoeken&lr=]Google[/url]
2. Ik heb geen medelijden met microsoft. Ook heb ik geen
aandelen. Ik vertel gewoon een aantal feiten die een aantal
mensen niet weten. Aan je post te zien jij bijvoorbeeld.
Nee, je gaat er van uit dat mensen die bugs in Microsoft
software vinden deze bugs niet aan Microsoft melden, maar
direct op internet gooien, terwijl bugs in software van
andere leveranciers eerst gemeld worden. Je draagt geen
enkel argument aan voor deze stelling en gaat mij vervolgens
iets wijs maken over hacker ethics (waar je nota bene nog
een google link voor nodig hebt ook...shame on you!).
Je noemt geen enkel feit, je blaat alleen wat in de lucht.
Je hebt dus een stelling, en geen enkel argument om die te
onderbouwen. Laat staan feiten. Leer eens discusseren, dan
leer je vanzelf wat een feit is, wat een argument is en wat
een stelling is.
Ik moet wel zeggen dat ik het uitstekend vind dat er ook een
keertje een bug word vermeld in het programma wat iedereen
hier wilt groot maken.
Nu ook nog Linux fouten melden, en security.nl word een
echte security nieuwssite!
Jij hebt echt een complex. Arme jongen....praat eens met een
psychiater!
anti-Microsoft site. Er wordt echt wel nieuws over lekken in
andere software gepost. Maar waarom denk je dat Microsoft
software zo vaak genoemd wordt???
Vandaar, complex, psychiater en dergelijke. Ik weet niet wat
voor werk je doet, maar als het ICT-gerelateerd is raad ik
je aan ander werk te zoeken.
Hoe komen mensen er toch bij dat er in Microsoft software
veel meer bugs zitten? Ga dan aub naar securityfocus.org, en
subscribe voor de bugtraq oid. Daar worden security flaws
van elk stukje software behandeld. Ook worden er veel andere
discussies gehouden over security. Het is in ieder geval een
stuk beter om te lezen dan alle nutteloze reacties hier.
Hier argumenteren mensen slecht. Vaak is het 10 tegen 1 met
discussieren, en soms heeft die ene gelijk terwijl die 10
dan iedereen laten denken dat diegene onzin praat.
Mijn tip voor iedereen die echt geinterreseerd is in
security: verdoe je tijd niet met security.nl Het is een
leuke site voor het nieuws van Microsoft flaws, en af en toe
een ander bericht, maar de reacties op nieuwsberichten zijn
erg slecht.
veel meer bugs zitten? Ga dan aub naar securityfocus.org, en
subscribe voor de bugtraq oid. Daar worden security flaws
van elk stukje software behandeld. Ook worden er veel andere
discussies gehouden over security. Het is in ieder geval een
stuk beter om te lezen dan alle nutteloze reacties hier.
Hier argumenteren mensen slecht. Vaak is het 10 tegen 1 met
discussieren, en soms heeft die ene gelijk terwijl die 10
dan iedereen laten denken dat diegene onzin praat.
Mijn tip voor iedereen die echt geinterreseerd is in
security: verdoe je tijd niet met security.nl Het is een
leuke site voor het nieuws van Microsoft flaws, en af en toe
een ander bericht, maar de reacties op nieuwsberichten zijn
erg slecht.
fijn al die flames zo. Blijft me verbazen dat alle 'alternatieven'' aanhangers zo
reageren dat degenen die het bij de reguliere tools houden zich aangevallen
voelen. Proberen jullie je mening nu door te drukken ? of iemand te kleineren
omdat ie MS producten gebruikt ? Er wordt hier door de nix en niet IE fans op
een manier gereageerd die iedere onafhankelijke lezer zich kapot doet
lachen. Ieder heeft zijn eigen 'BESTE KEUS'. De niet explosieve groei van
alternatieven komt mijns iniens puur door het feit dat er zoveel mensen zijn
die hun mening het liefst bij iemand erin rammen, of mbv kleinerende
opmerkingen iemand proberen te overtuigen. Je kunt wel verstand hebben
van bits en bytes, maar er mee omgaan is een 2e
reageren dat degenen die het bij de reguliere tools houden zich aangevallen
voelen. Proberen jullie je mening nu door te drukken ? of iemand te kleineren
omdat ie MS producten gebruikt ? Er wordt hier door de nix en niet IE fans op
een manier gereageerd die iedere onafhankelijke lezer zich kapot doet
lachen. Ieder heeft zijn eigen 'BESTE KEUS'. De niet explosieve groei van
alternatieven komt mijns iniens puur door het feit dat er zoveel mensen zijn
die hun mening het liefst bij iemand erin rammen, of mbv kleinerende
opmerkingen iemand proberen te overtuigen. Je kunt wel verstand hebben
van bits en bytes, maar er mee omgaan is een 2e
Blijft me verbazen dat alle 'alternatieven''
aanhangers zo
reageren dat degenen die het bij de reguliere tools houden
zich aangevallen
voelen.
Nou, ik kan je vertellen dat ik dus net in verschillendeaanhangers zo
reageren dat degenen die het bij de reguliere tools houden
zich aangevallen
voelen.
topics heb proberen uit te leggen hoe het komt dat er voor
bugs in IE nog geen patches zijn. Echter zijn er mensen
waarvoor je echt de bewijzen in 2 voud voor hun neus moet
leggen, en vervolgens 3 keer voor gaan lezen ook.
Zelf ben ik helemaal geen Microsoft fan ofzo hoor. Ik
gebruik op mn werk Firefox, en thuis netscape.... Ik vind
alleen dat je niet een bedrijf de grond in moet trappen als
je maar een half verhaal kent, dus probeer ik sommige mensen
hier wat bij te brengen.
Magoe, ik vind het ook wel grappig hoe die gozer niet van me
kan winnen met discussieren hoor :-)
De oorzaak van de bug: geen Mozilla/Firefox maar Windows XP SP1
http://software.newsforge.com/software/04/07/08/2327246.shtml?tid=78&tid=27&tid=31
The hole
Specifically the vulnerability is a feature: it allows
Windows programs to be run remotely through clicking on a
link like one of these. The links use the shell: command to
run arbitrary Windows programs or, at its most destructive,
a denial of service attack on an individual machine by
opening up programs that don't exist.
The kicker is that this isn't even a problem with Mozilla;
it's a problem with Windows Explorer. Windows XP Service
Pack 1 was supposed to have closed this hole, but apparently
it is still functioning and leaving Windows systems open to
remote attack. So the Mozilla team worked to patch a hole
that had little to do with their project.
Is this really a security hole? When Mozilla receives a
shell: request, it passes it on to an external handler in
Windows. The "fix" for this is to disable this functionality
which, as far as I can tell, is totally unnecessary to begin
with. External handlers -- programs outside Mozilla -- have
no specific security model, so the only way to deal with
them is to make individual exceptions like this one. Messy?
Yes. But that's Windows.
http://software.newsforge.com/software/04/07/08/2327246.shtml?tid=78&tid=27&tid=31
The hole
Specifically the vulnerability is a feature: it allows
Windows programs to be run remotely through clicking on a
link like one of these. The links use the shell: command to
run arbitrary Windows programs or, at its most destructive,
a denial of service attack on an individual machine by
opening up programs that don't exist.
The kicker is that this isn't even a problem with Mozilla;
it's a problem with Windows Explorer. Windows XP Service
Pack 1 was supposed to have closed this hole, but apparently
it is still functioning and leaving Windows systems open to
remote attack. So the Mozilla team worked to patch a hole
that had little to do with their project.
Is this really a security hole? When Mozilla receives a
shell: request, it passes it on to an external handler in
Windows. The "fix" for this is to disable this functionality
which, as far as I can tell, is totally unnecessary to begin
with. External handlers -- programs outside Mozilla -- have
no specific security model, so the only way to deal with
them is to make individual exceptions like this one. Messy?
Yes. But that's Windows.
Nou weet ik hier niet zo heel veel van ofzo, maar waarom
geeft Mozilla dan een shell request door aan een external
handler? En wat gebeurt er als dit probleem niet was
opgelost in Mozilla, maar wel in Windows? Dan zou je denk ik
een foutmelding krijgen in Mozilla omdat die de shell
request niet kan doorgeven aan de external handler.... toch?
Please, correct me if i'm wrong.
geeft Mozilla dan een shell request door aan een external
handler? En wat gebeurt er als dit probleem niet was
opgelost in Mozilla, maar wel in Windows? Dan zou je denk ik
een foutmelding krijgen in Mozilla omdat die de shell
request niet kan doorgeven aan de external handler.... toch?
Please, correct me if i'm wrong.
Hoe is het mogelijk hier wordt mozilla als zondebok genomen
om de FOUTEN IN WINDOWS TE VERDOEZELEN. Ik word doodziek van
die microsoft-shit
om de FOUTEN IN WINDOWS TE VERDOEZELEN. Ik word doodziek van
die microsoft-shit
Ik heb win2003 met IE - geen probleem, helemaal niet. laat die vuurvossen
en dondervogels maar is iets proberen hier :)
Plus, mijn shockwave, java applets, ... werken zonder te crashen :)
en dondervogels maar is iets proberen hier :)
Plus, mijn shockwave, java applets, ... werken zonder te crashen :)
Door Anoniem
word gevonden, staat het niet op security.nl. Persoonlijk
zou ik het prettig vinden als dit wel zo zou zijn. Scheelt
een hoop kijken op andere sites.
Mee eens, heb laatst een link naar een linux lek gepost naar security.nl en ze Door Anoniem
Volgens mij zie ik links op de site zowel Suse als Debian
advisories. Dus wat is je probleem?
Dat is waar, maar als er een ernstig lek in een linux kernelVolgens mij zie ik links op de site zowel Suse als Debian
advisories. Dus wat is je probleem?
word gevonden, staat het niet op security.nl. Persoonlijk
zou ik het prettig vinden als dit wel zo zou zijn. Scheelt
een hoop kijken op andere sites.
deden er niets mee.
Reageren
Deze posting is gelocked. Reageren is niet meer mogelijk.
Security Specialist Malware
NCSC
Zit cybersecurity diep in je DNA? Heb jij het in je om op het moment dat het er echt toe doet samen met je collega’s tot de juiste (technische) oplossing te komen? Als security specialist malware bij het Nationaal Cyber Security Centrum (NCSC) doe jij er alles aan om de impact van digitale dreigingen te verminderen en incidenten tegen te gaan.
Information Security Officer
Grijp deze unieke kans voor carrière-ontwikkeling in informatiebeveiliging! Bij Esri bouw je vertrouwensrelaties op en help je zowel ons als onze klanten veiligere technologie te gebruiken. Ben jij de ervaren Security Officer die energie krijgt van werken in 'twee werelden'? Solliciteer dan nu!
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
No more ransomware!
De nieuwe Ransomware Awareness Experience training biedt een realistische maar vooral leuke introductie in de wereld van ransomware. De deelnemers ervaren hoe eenvoudig een organisatie het slachtoffer kan worden van ransomware en leren meteen hoe een besmetting kan worden voorkomen!