Lek in Linux versie Mozilla, Firefox en Thunderbird
Er is een lek in Mozilla, Firefox en Thunderbird ontdekt dat door kwaadwillende personen misbruikt kan worden om achter vertrouwelijke gegevens te komen. Het lek wordt veroorzaakt door "onjuiste permissies van gedownloade bestanden die in externe applicaties geopend worden." Dit kan misbruikt worden om andere bestanden van de gebruiker, die via het downloadvenster in externe applicaties geopend zijn, te lezen. Het lek, dat als "less critical" wordt bestempeld, is aanwezig in de onderstaande Linux builds:
* Mozilla 1.7 t/m 1.7.3.
* Firefox 0.9 t/m 1.0PR.
* Thunderbird 0.6 t/m 0.8.
Er zouden inmiddels fixes in de CVS repository aanwezig zijn, aldus deze advisory.
Reacties (17)
Alle Windows flapdrollen lachen nu natuurlijk heel hard achter hun hand :-)
Door Anoniem
Alle Windows flapdrollen lachen nu natuurlijk heel hard achter hun hand :-)
Alle Windows flapdrollen lachen nu natuurlijk heel hard achter hun hand :-)
Nee hoor de meeste Win gebruikers zijn intelligent (waarom gebruiken ze
anders Windows). Meestal zitten de Linux gebruikers te klieren.
25-10-2004, 19:15 door
DaBuddhaMan
In de lagere school hebben wij toch allemaal geleerd eerst
mailtje opslaan en daarna maar openen!
mailtje opslaan en daarna maar openen!
als ik zo'n kop van een artikel zie verwacht ik toch
eigenlijk een root exploit of op zijn minst code die
uitgevoerd wordt
eigenlijk een root exploit of op zijn minst code die
uitgevoerd wordt
Moeten zulke nep exploits nou aangeven dat Gecko browsers
nou lek zijn? Ik zie hier alleen maar spoofing exploits
langskomen, terwijl internet explorer veel meer arbitrary
code execution exploits heeft, wat veel gevaarlijker is.
Dit toont niet alleen aan dat geen enkele browser perfect
is, maar ook dat unpatched gecko engines *op dit moment*
veiliger zijn dan een unpatched internet explorer browser.
nou lek zijn? Ik zie hier alleen maar spoofing exploits
langskomen, terwijl internet explorer veel meer arbitrary
code execution exploits heeft, wat veel gevaarlijker is.
Dit toont niet alleen aan dat geen enkele browser perfect
is, maar ook dat unpatched gecko engines *op dit moment*
veiliger zijn dan een unpatched internet explorer browser.
Door DaBuddhaMan
In de lagere school hebben wij toch allemaal geleerd eerst
mailtje opslaan en daarna maar openen!
Toen ik op de lagere school zat waren er nog geen Personal Computers!In de lagere school hebben wij toch allemaal geleerd eerst
mailtje opslaan en daarna maar openen!
Door Anoniem
Alle Windows flapdrollen lachen nu natuurlijk heel hard achter hun hand :-)
Alle Windows flapdrollen lachen nu natuurlijk heel hard achter hun hand :-)
Ach, het gaat mij er niet om, om leedvermaak te hebben.
Wel is het zo dat ik inmiddels steeds beter begin te begrijpen dat er een
aantal mensen per definitie alles afkeuren van Microsoft. Alle software van
andere partijen is goed!!!!
Kom op, laten we gewoon ons verstand gebruiken en objectief de software
beoordelen!!!!
Weten jullie wel wat hier staat?
Vertaald naar een windows omgeving komt dit op hetzelfde neer:
Wanneer jij een bestand download en voor 'openen vanaf
huidige locatie' (werkt niet voor executables) kiest, dan
kan je vader dat bestand later terugvinden en lezen (maar
hij kan het niet wijzigen) in c:windowstemp.
Kunnen de windows mensen wel lachen, maar zouden we dit bij
een windows lek in MS code uberhaupt gaan noemen? :-)
Dacht het niet.
Ik had het trouwens vaak genoeg gezien dat mozilla dat zo
doet, open toch alleen pdf bestanden direct op die manier.
Misschien dat ik me vergis hoor, maar ligt dat niet aan de
default permissions die je in je profile bestand hebt
opgegeven? Ik dacht altijd dat er daar door kwam, maar stel
toch altijd zelf de permissions in als het belangrijk is.
Vertaald naar een windows omgeving komt dit op hetzelfde neer:
Wanneer jij een bestand download en voor 'openen vanaf
huidige locatie' (werkt niet voor executables) kiest, dan
kan je vader dat bestand later terugvinden en lezen (maar
hij kan het niet wijzigen) in c:windowstemp.
Kunnen de windows mensen wel lachen, maar zouden we dit bij
een windows lek in MS code uberhaupt gaan noemen? :-)
Dacht het niet.
Ik had het trouwens vaak genoeg gezien dat mozilla dat zo
doet, open toch alleen pdf bestanden direct op die manier.
Misschien dat ik me vergis hoor, maar ligt dat niet aan de
default permissions die je in je profile bestand hebt
opgegeven? Ik dacht altijd dat er daar door kwam, maar stel
toch altijd zelf de permissions in als het belangrijk is.
Op het moment dat tante Mien uit Appelscha Linux op haar PC laat
zetten door een neefje omdat dat veel veiliger is, dan pas moet je
gaan uitkijken.
Tante Mien, onder te brengen in de categorie klikvee, is een gewild
slachtoffer. En hoe meer tante Mienen er gaan komen hoe linker het
wordt.
Dus laat ons Linux-lovers nou vooral niet van de daken lopen
schreeuwen dat het allemaal zo veel beter is. Voor je het weet gaan
hele volksstammen het gebruiken en zijn de rapen gaar. Dan wordt
Linux pas echt een interessant jachtgebied en moeten we ook als een
idioot aan het patchen omdat de tijd van bekend maken van een
exploit, liefst met patch, en beschikbaar zijn van exploit-code wel
eens heel krap kan gaan worden.
Mondje dicht dus en niet in allerlei forums het slimste jongetje van de
klas gaan lopen uithangen.
Daar hebben we veel meer aan.
zetten door een neefje omdat dat veel veiliger is, dan pas moet je
gaan uitkijken.
Tante Mien, onder te brengen in de categorie klikvee, is een gewild
slachtoffer. En hoe meer tante Mienen er gaan komen hoe linker het
wordt.
Dus laat ons Linux-lovers nou vooral niet van de daken lopen
schreeuwen dat het allemaal zo veel beter is. Voor je het weet gaan
hele volksstammen het gebruiken en zijn de rapen gaar. Dan wordt
Linux pas echt een interessant jachtgebied en moeten we ook als een
idioot aan het patchen omdat de tijd van bekend maken van een
exploit, liefst met patch, en beschikbaar zijn van exploit-code wel
eens heel krap kan gaan worden.
Mondje dicht dus en niet in allerlei forums het slimste jongetje van de
klas gaan lopen uithangen.
Daar hebben we veel meer aan.
Door Anoniem
Alle Windows flapdrollen lachen nu natuurlijk heel hard
achter hun hand :-)
Alle Windows flapdrollen lachen nu natuurlijk heel hard
achter hun hand :-)
Nee hoor, we weten precies hoe jullie je voelen nu ...
26-10-2004, 08:32 door
[Account Verwijderd]
[Verwijderd]
26-10-2004, 09:05 door
Sebastian
Volgens mij beheersen enige reactie gevers van het
"anti-anders" platform het Engels niet.
The vulnerability is caused due to improper permissions on
downloaded files opened in external applications. This can
be exploited to read other users' files, which are currently
opened through the download dialog box in external applications.
Welnu, met hoeveel man werk je doorgaans tegelijkertijd op
één werkstation?
"anti-anders" platform het Engels niet.
The vulnerability is caused due to improper permissions on
downloaded files opened in external applications. This can
be exploited to read other users' files, which are currently
opened through the download dialog box in external applications.
Welnu, met hoeveel man werk je doorgaans tegelijkertijd op
één werkstation?
Door Anoniem
Computers!
Door DaBuddhaMan
In de lagere school hebben wij toch allemaal geleerd eerst
mailtje opslaan en daarna maar openen!
Toen ik op de lagere school zat waren er nog geen PersonalIn de lagere school hebben wij toch allemaal geleerd eerst
mailtje opslaan en daarna maar openen!
Computers!
Juist ja toen had iedere lagere school een mainframe. :-)
26-10-2004, 11:05 door
Walter
Door Sébastian
Volgens mij beheersen enige reactie gevers van het
"anti-anders" platform het Engels niet.
The vulnerability is caused due to improper permissions on
downloaded files opened in external applications. This can
be exploited to read other users' files, which are currently
opened through the download dialog box in external applications.
Welnu, met hoeveel man werk je doorgaans tegelijkertijd op
één werkstation?
Met NFS kan een home directory toch ook op het netwerkVolgens mij beheersen enige reactie gevers van het
"anti-anders" platform het Engels niet.
The vulnerability is caused due to improper permissions on
downloaded files opened in external applications. This can
be exploited to read other users' files, which are currently
opened through the download dialog box in external applications.
Welnu, met hoeveel man werk je doorgaans tegelijkertijd op
één werkstation?
staan, waardoor dit een iets groter lek zou kunnen worden,
maar ik vind het wel mooi dat The Mozilla Foundation dit
meld als een "Less critical" bug en dit dus wel behoorlijk
belangrijk vindt. Ik ken andere software ontwikkelaars
(niet eens alleen microsoft) die dit als een low priority
bug zouden zien.
Het toont dus wel aan hoe belangrijk security voor mozilla
is, en dat is een goed teken.
En mozilla Firefox is wel het voorbeeld dat een
behoorlijk veilig softwarepakket en gebruikersvriendelijkheid samen kunnen gaan!
Ja net zoals dat als het merendeel van de webserver apache
draait ipv iis dan zullen er daar ook wel meer virussen voor
uitkomen. o wacht.
draait ipv iis dan zullen er daar ook wel meer virussen voor
uitkomen. o wacht.
26-10-2004, 11:42 door
Sebastian
kortbondig: files in /tmp world readable (email attachments,
helper app docs)
Is al gefixed, zoals het bericht reeds opmelde. Ze zijn er
als de kippen bij.
Gelukkig hoeven we niet op een maandelijkse patch-cyclus te
wachten ;)
helper app docs)
Is al gefixed, zoals het bericht reeds opmelde. Ze zijn er
als de kippen bij.
Gelukkig hoeven we niet op een maandelijkse patch-cyclus te
wachten ;)
26-10-2004, 14:24 door
SirDice
Door Anoniem
Vertaald naar een windows omgeving komt dit op hetzelfde neer:
Wanneer jij een bestand download en voor 'openen vanaf
huidige locatie' (werkt niet voor executables) kiest, dan
kan je vader dat bestand later terugvinden en lezen (maar
hij kan het niet wijzigen) in c:windowstemp.
{..}
Ik had het trouwens vaak genoeg gezien dat mozilla dat zo
doet, open toch alleen pdf bestanden direct op die manier.
Misschien dat ik me vergis hoor, maar ligt dat niet aan de
default permissions die je in je profile bestand hebt
opgegeven? Ik dacht altijd dat er daar door kwam, maar stel
toch altijd zelf de permissions in als het belangrijk is.
c:windowstemp is geen onderdeel van je profile. Vandaar..Vertaald naar een windows omgeving komt dit op hetzelfde neer:
Wanneer jij een bestand download en voor 'openen vanaf
huidige locatie' (werkt niet voor executables) kiest, dan
kan je vader dat bestand later terugvinden en lezen (maar
hij kan het niet wijzigen) in c:windowstemp.
{..}
Ik had het trouwens vaak genoeg gezien dat mozilla dat zo
doet, open toch alleen pdf bestanden direct op die manier.
Misschien dat ik me vergis hoor, maar ligt dat niet aan de
default permissions die je in je profile bestand hebt
opgegeven? Ik dacht altijd dat er daar door kwam, maar stel
toch altijd zelf de permissions in als het belangrijk is.
Reageren
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
