Tjah, weer een oudere versie...
Mozilla 1.7.3 - Released Sept 13, 2004
Mozilla 1.7.5 - Released December 17, 2004

En twee weken geleden is al een nieuwe versie beschikbaar
gekomen. Ik weet niet of Mozilla dezelfde update tool heeft
als Firefox, maar als dat zo is, dan zijn de meeste mensen
al geupdate :).

jammer dat het een freeware pakket s
misschien was het lek wel bedoeld om er te zin
we zullen het wel nooit te weten komen

bestond het lekje er 4 jaar geleden ook al ?

Ach, iedereen draait toch al 1.7.5? Wat ik me nog afvraag:
- Wordt die willekeurige code uitgevoerd in de user-context
of in Administrator?
- Op welk os treedt dit op?
- Zou zoiets interessant kunnen zijn voor schrijvers van
malware?

Waarom jammer? Ik zie daar alleen maar voordelen in.
Er van uitgaan de dat de groep programmeurs het beste
voorhebben(wat logisch is, want anders besteden ze er niet
zoveel van hun vrije tijd aan, het zijn tenslotte bijna
allemaal vrijwilligers) en dat de code goed gecontroleerd
wordt denk ik niet dat het de bedoeling van de Mozilla
foundation is om dit lek er in te laten zitten.
Zoek op het internet een Mozilla van 4 jaar geleden op (is
vast nog wel te downloaden ergens) en probeer het uit, wat
let je?
De exploit code staat zelfs in de link van het artikel.

Met de rechten waarmee de gebruiker werkt.. meestal
administrator als je op windows draait..


Alle waar mozilla op draait..


Natuurlijk.. als mensen massaal de mozilla versie met de bug
blijven draaien.

Het gaat om een buffer overflow conditie.. daarmee kun je
indirect machine-/shellcode uitvoeren. Het blijft toch
lastig te exploiteren, vooral omdat het een heap overflow is
(dynamisch allocated memory). Zo moet de exploit aangepast
worden aan de verschillende installaties. Dat wil zeggen,
als je windows gebruikt met mozilla of linux met mozilla dan
moet je twee verschillende exploits bouwen.. dit omdat
virtuele adressering anders is en omdat de shellcode anders
is. Verder is een heap overflow lastig te exploiten; let op,
meestal wel mogelijk maar het kan wel eens meerdere pogingen
vereisen en werkt radicaal anders op verschillende
besturingssystemen.

Maar het is dus zo.. als iemand wil inbreken op je computer
moeten ze weten welke mozilla versie je gebruikt, op welk
besturingssysteem en welke versie van het besturingssysteem.
Verder moeten ze dus enigszins verstand hebben van het
exploiteren van buffer overflows.. dat toch wel enigszins
oefening en kennis vereist. Een virus zie je er niet zo snel
van komen.

Ik zou zelf die moeite niet doen. Je schrijft iets dat een
bekende fout uitbuit en je stuurt het de wijde wereld in.
Het gaat - denk ik - vooral om de aantallen, niet om de
specifieke machines. Op een hoop machines zal je kunstwerk
het niet doen maar op een hoop andere wel. En hoeveel een
bepaalde browser gebruikt wordt, kun je op diverse sites
(http://developers.evrsoft.com/articles/ref_web_stats.shtml)
wel vinden. Of je leest de browser id-string uit, al kan die
veranderd zijn.

freeware?!? gelukkig is mozilla *geen* freeware, kom zeg.

Ik gebruik helemaal geen NNTP URL's en boundaries bij mijn browser,
ben ik nou ook in geVAAR??!

hmm, klinkt toch minder gevaarlijk dan een stack based
buffer overflow...

Alternatief voor IE = Mozilla; alternatief voor alternatief =
http://www.flashpeak.com/sbrowser/

Doe er je voordeel mee...