Drie lekken ontdekt in Firefox 1.0 en Mozilla 1.7.5
Security onderzoeker Michael Krax heeft drie lekken in de open source browsers Firefox 1.0 en Mozilla 1.7.5 ontdekt. Krax wilde weten hoeveel moeite het kost om een security lek in Firefox te vinden in vergelijking met Internet Explorer. Hij richtte zich op fouten in de interactie met de gebruiker, net als de "scrollbar bug" in IE die hij vorig jaar augustus publiceerde. Na een paar uur testen had Krax drie lekken gevonden:
- Firedragging: Hierbij kan er een uitvoerbaar bestand op de desktop geplaatst worden.
- Firetabbing: Hierbij kunnen cookies gestolen, en nog veel erger, willekeurige code op het systeem worden uitgevoerd.
- Fireflashing: Hierbij kunnen waardes in about:config worden gewijzigd.
Reacties (22)
Filedragging: Hierbij kan er een uitvoerbaar bestand op de
desktop geplaatst worden. <-- dit heeft IE toch ook?
Firetabbing: werkt hier niet op Linux zie ik :P
Fireflashing: Bouw je C schijf maar na met IE mbv ActiveX/Flash
desktop geplaatst worden. <-- dit heeft IE toch ook?
Firetabbing: werkt hier niet op Linux zie ik :P
Fireflashing: Bouw je C schijf maar na met IE mbv ActiveX/Flash
Je hebt er blijkbaar Java en Flash voor nodig onder Windows
om er ontvankelijk voor te zijn.
om er ontvankelijk voor te zijn.
08-02-2005, 09:33 door
bustersnyvel
8 dagen. Kijk, daar kan Microsoft een puntje aan zuigen. Wat
mij betreft nog 7 dagen te lang, maar goed ;-)
mij betreft nog 7 dagen te lang, maar goed ;-)
Maar waar is het vergelijk tussen firefox en ie?? Hoe lang duurde het bij IE?
Jongens van de redactie kijk even op zijn weblog daar staat:
Het kost hem 2 uur om iets te vinden in firefox en ook in ie.
Na het rapporteren aan firefox heeft hij er nooit iets meer van gehoord. Die
fouten staan nu nog open. Volgens mij moet de conclusie zijn: ie of firefox
het maakt niets uit. Kies maar 1 het is toch russische roulette.
Het kost hem 2 uur om iets te vinden in firefox en ook in ie.
Na het rapporteren aan firefox heeft hij er nooit iets meer van gehoord. Die
fouten staan nu nog open. Volgens mij moet de conclusie zijn: ie of firefox
het maakt niets uit. Kies maar 1 het is toch russische roulette.
Door Anoniem
Filedragging: Hierbij kan er een uitvoerbaar bestand op de
desktop geplaatst worden. <-- dit heeft IE toch ook?
Firetabbing: werkt hier niet op Linux zie ik :P
Fireflashing: Bouw je C schijf maar na met IE mbv ActiveX/Flash
Nee, deze werken niet onder Iexplorer met XP SP2.Filedragging: Hierbij kan er een uitvoerbaar bestand op de
desktop geplaatst worden. <-- dit heeft IE toch ook?
Firetabbing: werkt hier niet op Linux zie ik :P
Fireflashing: Bouw je C schijf maar na met IE mbv ActiveX/Flash
Deze bugs waren ak bekend VOORDAT versie 1.0 uit kwam. Wat een
afgang voor FF zeg.
Daarnaast is er na 3 maanden nog geen enkele reactie van het FF team
geweest. Zie de website van Michael Krax: http://www.mikx.de
FF wordt voornamelijk door thuisgebruikers gebruikt. Zij moeten nu dus
een nieuwe versie compileren, want patchen is niet aan de orde. Een
alternatief is wachten op een nieuwe versie :-). Beste thuisgebruikers:
succes met compileren!
afgang voor FF zeg.
Daarnaast is er na 3 maanden nog geen enkele reactie van het FF team
geweest. Zie de website van Michael Krax: http://www.mikx.de
FF wordt voornamelijk door thuisgebruikers gebruikt. Zij moeten nu dus
een nieuwe versie compileren, want patchen is niet aan de orde. Een
alternatief is wachten op een nieuwe versie :-). Beste thuisgebruikers:
succes met compileren!
Door Anoniem
Jongens van de redactie kijk even op zijn weblog daar staat:
Het kost hem 2 uur om iets te vinden in firefox en ook in ie.
Na het rapporteren aan firefox heeft hij er nooit iets meer
van gehoord. Die
fouten staan nu nog open. Volgens mij moet de conclusie
zijn: ie of firefox
het maakt niets uit. Kies maar 1 het is toch russische
roulette.
Zelf nog iets beter lezen. dat is een andere bug dan dieJongens van de redactie kijk even op zijn weblog daar staat:
Het kost hem 2 uur om iets te vinden in firefox en ook in ie.
Na het rapporteren aan firefox heeft hij er nooit iets meer
van gehoord. Die
fouten staan nu nog open. Volgens mij moet de conclusie
zijn: ie of firefox
het maakt niets uit. Kies maar 1 het is toch russische
roulette.
hier genoemd worden (die hij 3 maanden daarna pas ontdekt
heeft). Over die eerste bug heeft hij nooit meer iets
geschreven terwijl er in de tussentijd wel aardig wat
patches zijn verschenen.Of de fouten nu nog open staan is
maar de vraag.
Wat blijft staan is dat ook bij Mozilla het wel eens wat
langer duurt dan gehoopt, maar dat het in 99% van alle
gevallen stukken sneller is met patchen dan concurenten.
Er zijn ook precompiled nightly builds.
Wordt tijd dat vendors zoals microsoft en mozilla auto
patchers gaan inbouwen.
Dan kan na de 6-12maand die microsoft nodig heeft, en de
paar dagen die het mozilla team doorgaans nodig heeft, de
applicatie zichzelf patchen.
Dit moet toch niet zo moeilijk zijn?
Fix het zo, dat als er echt kritieke updates zijn, je
product dat zelf ophaald. 99,999% van de eindgebruikers doet
het toch niet uit zichzelf.
Wordt tijd dat vendors zoals microsoft en mozilla auto
patchers gaan inbouwen.
Dan kan na de 6-12maand die microsoft nodig heeft, en de
paar dagen die het mozilla team doorgaans nodig heeft, de
applicatie zichzelf patchen.
Dit moet toch niet zo moeilijk zijn?
Fix het zo, dat als er echt kritieke updates zijn, je
product dat zelf ophaald. 99,999% van de eindgebruikers doet
het toch niet uit zichzelf.
Door Anoniem
hier genoemd worden (die hij 3 maanden daarna pas ontdekt
heeft). Over die eerste bug heeft hij nooit meer iets
geschreven terwijl er in de tussentijd wel aardig wat
patches zijn verschenen.Of de fouten nu nog open staan is
maar de vraag.
Wat blijft staan is dat ook bij Mozilla het wel eens wat
langer duurt dan gehoopt, maar dat het in 99% van alle
gevallen stukken sneller is met patchen dan concurenten.
Bij M$ duurt het ook wel eens langer dan gehoopt en ook vaak 1 % van de Door Anoniem
Jongens van de redactie kijk even op zijn weblog daar staat:
Het kost hem 2 uur om iets te vinden in firefox en ook in ie.
Na het rapporteren aan firefox heeft hij er nooit iets meer
van gehoord. Die
fouten staan nu nog open. Volgens mij moet de conclusie
zijn: ie of firefox
het maakt niets uit. Kies maar 1 het is toch russische
roulette.
Zelf nog iets beter lezen. dat is een andere bug dan dieJongens van de redactie kijk even op zijn weblog daar staat:
Het kost hem 2 uur om iets te vinden in firefox en ook in ie.
Na het rapporteren aan firefox heeft hij er nooit iets meer
van gehoord. Die
fouten staan nu nog open. Volgens mij moet de conclusie
zijn: ie of firefox
het maakt niets uit. Kies maar 1 het is toch russische
roulette.
hier genoemd worden (die hij 3 maanden daarna pas ontdekt
heeft). Over die eerste bug heeft hij nooit meer iets
geschreven terwijl er in de tussentijd wel aardig wat
patches zijn verschenen.Of de fouten nu nog open staan is
maar de vraag.
Wat blijft staan is dat ook bij Mozilla het wel eens wat
langer duurt dan gehoopt, maar dat het in 99% van alle
gevallen stukken sneller is met patchen dan concurenten.
gevallen. Waarom is iedereen zo lief tegen firefox?
Gewoon reeel zijn: Beiden hebben nadelen.
Door Anoniem
Deze bugs waren ak bekend VOORDAT versie 1.0 uit kwam. Wat een
afgang voor FF zeg.
Daarnaast is er na 3 maanden nog geen enkele reactie van het
FF team
geweest. Zie de website van Michael Krax:
http://www.mikx.de
FF wordt voornamelijk door thuisgebruikers gebruikt. Zij
moeten nu dus
een nieuwe versie compileren, want patchen is niet aan de
orde. Een
alternatief is wachten op een nieuwe versie :-). Beste
thuisgebruikers:
succes met compileren!
Deze bugs waren ak bekend VOORDAT versie 1.0 uit kwam. Wat een
afgang voor FF zeg.
Daarnaast is er na 3 maanden nog geen enkele reactie van het
FF team
geweest. Zie de website van Michael Krax:
http://www.mikx.de
FF wordt voornamelijk door thuisgebruikers gebruikt. Zij
moeten nu dus
een nieuwe versie compileren, want patchen is niet aan de
orde. Een
alternatief is wachten op een nieuwe versie :-). Beste
thuisgebruikers:
succes met compileren!
apt-get firefox-1.0.installer.tar.gz
.tar zvxf firefox-1.0.installer.tar.gz
./configure && make && make install
done.
:P
Door Anoniem
Er zijn ook precompiled nightly builds.
Wordt tijd dat vendors zoals microsoft en mozilla auto
patchers gaan inbouwen.
Dan kan na de 6-12maand die microsoft nodig heeft, en de
paar dagen die het mozilla team doorgaans nodig heeft, de
applicatie zichzelf patchen.
Dit moet toch niet zo moeilijk zijn?
Fix het zo, dat als er echt kritieke updates zijn, je
product dat zelf ophaald. 99,999% van de eindgebruikers doet
het toch niet uit zichzelf.
Er zijn ook precompiled nightly builds.
Wordt tijd dat vendors zoals microsoft en mozilla auto
patchers gaan inbouwen.
Dan kan na de 6-12maand die microsoft nodig heeft, en de
paar dagen die het mozilla team doorgaans nodig heeft, de
applicatie zichzelf patchen.
Dit moet toch niet zo moeilijk zijn?
Fix het zo, dat als er echt kritieke updates zijn, je
product dat zelf ophaald. 99,999% van de eindgebruikers doet
het toch niet uit zichzelf.
Op de website staat nog steeds versie 1.0, daar komen toch zoveel
downloads vandaan. Gebruikers moeten dus zelf maar op zoek gaan naar
een door een onbekende gecomplieerde versie? Dat kun je niet serieus
menen.
Daarnaast weet je te vertellen dat Microsoft 6 tot 12 maanden erover doet
om een patch uit te brengen, waar haal je dit vandaan, je roept maar wat.
Tot slot: FF brengt tot op heden nog geen patches uit voor de diverse
lekken, een nieuwe versie is hun oplossing. Geen patch, maar een
upgrade. Niet gebruikersvriendelijk en slecht beheersbaar in zakelijke
omgevingen.
Door Anoniem
apt-get firefox-1.0.installer.tar.gz
.tar zvxf firefox-1.0.installer.tar.gz
./configure && make && make install
done.
:P
emerge -Uv mozilla-firefox Door Anoniem
Deze bugs waren ak bekend VOORDAT versie 1.0 uit kwam. Wat een
afgang voor FF zeg.
Daarnaast is er na 3 maanden nog geen enkele reactie van het
FF team
geweest. Zie de website van Michael Krax:
http://www.mikx.de
FF wordt voornamelijk door thuisgebruikers gebruikt. Zij
moeten nu dus
een nieuwe versie compileren, want patchen is niet aan de
orde. Een
alternatief is wachten op een nieuwe versie :-). Beste
thuisgebruikers:
succes met compileren!
Deze bugs waren ak bekend VOORDAT versie 1.0 uit kwam. Wat een
afgang voor FF zeg.
Daarnaast is er na 3 maanden nog geen enkele reactie van het
FF team
geweest. Zie de website van Michael Krax:
http://www.mikx.de
FF wordt voornamelijk door thuisgebruikers gebruikt. Zij
moeten nu dus
een nieuwe versie compileren, want patchen is niet aan de
orde. Een
alternatief is wachten op een nieuwe versie :-). Beste
thuisgebruikers:
succes met compileren!
apt-get firefox-1.0.installer.tar.gz
.tar zvxf firefox-1.0.installer.tar.gz
./configure && make && make install
done.
:P
of
emerge -v mozilla-firefox-bin voor de binary
Godbless Gentoo :)
sinds wanneer moeten patches binary zijn? wat een
microsoftisme. groot, onhandig, en afhankelijk van de flags
en het systeem waarop het oorspronkelijk gebouwd is.
microsoftisme. groot, onhandig, en afhankelijk van de flags
en het systeem waarop het oorspronkelijk gebouwd is.
Alle lekken zijn 8 dagen na de bekendmaking van Krax
door Mozilla verholpen. Gebruikers kunnen hun eigen "nightly
build" compileren of wachten op Firefox 1.0.1.
door Mozilla verholpen. Gebruikers kunnen hun eigen "nightly
build" compileren of wachten op Firefox 1.0.1.
Tja, zo kan ik ook problemen 'oplossen'. Want wat is de
oplossing?
1. Verzin er zelf maar iets op
2. Wacht maar op de nieuwe versie, wanneer die komt is niet
bekend
En dan zijn er hier mensen die deze aanpak prijzen?! Liefde
maakt blind, zegt men hè? De liefde van sommigen voor Firefox
maakt stekeblind, zoveel is duidelijk. Gooi dat rare protectionisme
eens overboord en wees kritisch tov zowel IE als Firefox.
Door Anoniem
apt-get firefox-1.0.installer.tar.gz
.tar zvxf firefox-1.0.installer.tar.gz
./configure && make && make install
apt-get firefox-1.0.installer.tar.gz
.tar zvxf firefox-1.0.installer.tar.gz
./configure && make && make install
Je haalt een paar dingen door elkaar.
apt-get is een packet manager, waarmee je software kunt
installeren. Bijvoorbeeld met 'apt-get install mozilla-firefox'.
Daarnaast kun je ook de source code downloaden, met tar
uitpakken, daarna met ./configure system variabelen
controleren, met make compileren en met make install
installeren.
Dus als je een beetje interessant probeert te doen, doe het
dan goed :-)
Door Anoniem
Je haalt een paar dingen door elkaar.
apt-get is een packet manager, waarmee je software kunt
installeren. Bijvoorbeeld met 'apt-get install mozilla-firefox'.
Daarnaast kun je ook de source code downloaden, met tar
uitpakken, daarna met ./configure system variabelen
controleren, met make compileren en met make install
installeren.
Dus als je een beetje interessant probeert te doen, doe het
dan goed :-)
Je hoeft voor Windows niks te compileren, voor de nightly Door Anoniem
apt-get firefox-1.0.installer.tar.gz
.tar zvxf firefox-1.0.installer.tar.gz
./configure && make && make install
apt-get firefox-1.0.installer.tar.gz
.tar zvxf firefox-1.0.installer.tar.gz
./configure && make && make install
Je haalt een paar dingen door elkaar.
apt-get is een packet manager, waarmee je software kunt
installeren. Bijvoorbeeld met 'apt-get install mozilla-firefox'.
Daarnaast kun je ook de source code downloaden, met tar
uitpakken, daarna met ./configure system variabelen
controleren, met make compileren en met make install
installeren.
Dus als je een beetje interessant probeert te doen, doe het
dan goed :-)
build van Firefox staat er gewoon een exe en zip file.
http://ftp.mozilla.org/pub/mozilla.org/firefox/nightly/latest-trunk/
Dit blijven toch wel de topics waar we allemaal over kunnen meepraten.
hehe.
hehe.
Door Anoniem
Deze bugs waren ak bekend VOORDAT versie 1.0 uit kwam. Wat een
afgang voor FF zeg.
Daarnaast is er na 3 maanden nog geen enkele reactie van het
FF team
geweest. Zie de website van Michael Krax:
http://www.mikx.de
FF wordt voornamelijk door thuisgebruikers gebruikt. Zij
moeten nu dus
een nieuwe versie compileren, want patchen is niet aan de
orde. Een
alternatief is wachten op een nieuwe versie :-). Beste
thuisgebruikers:
succes met compileren!
Deze bugs waren ak bekend VOORDAT versie 1.0 uit kwam. Wat een
afgang voor FF zeg.
Daarnaast is er na 3 maanden nog geen enkele reactie van het
FF team
geweest. Zie de website van Michael Krax:
http://www.mikx.de
FF wordt voornamelijk door thuisgebruikers gebruikt. Zij
moeten nu dus
een nieuwe versie compileren, want patchen is niet aan de
orde. Een
alternatief is wachten op een nieuwe versie :-). Beste
thuisgebruikers:
succes met compileren!
emerge -p mozilla-firefox
done :)
Door Anoniem
Je haalt een paar dingen door elkaar.
apt-get is een packet manager, waarmee je software kunt
installeren. Bijvoorbeeld met 'apt-get install mozilla-firefox'.
Daarnaast kun je ook de source code downloaden, met tar
uitpakken, daarna met ./configure system variabelen
controleren, met make compileren en met make install
installeren.
Dus als je een beetje interessant probeert te doen, doe het
dan goed :-)
Door Anoniem
apt-get firefox-1.0.installer.tar.gz
.tar zvxf firefox-1.0.installer.tar.gz
./configure && make && make install
apt-get firefox-1.0.installer.tar.gz
.tar zvxf firefox-1.0.installer.tar.gz
./configure && make && make install
Je haalt een paar dingen door elkaar.
apt-get is een packet manager, waarmee je software kunt
installeren. Bijvoorbeeld met 'apt-get install mozilla-firefox'.
Daarnaast kun je ook de source code downloaden, met tar
uitpakken, daarna met ./configure system variabelen
controleren, met make compileren en met make install
installeren.
Dus als je een beetje interessant probeert te doen, doe het
dan goed :-)
gaaaaaaap :)
emerge -p mozilla-firefox
done :)
Op dinsdag 08 februari 2005 13:58 schreef Anoniem onder meer:
> Daarnaast weet je te vertellen dat Microsoft 6
> tot 12 maanden erover doet om een patch uit te
> brengen, waar haal je dit vandaan, je roept
> maar wat.
Het was niet ik die dat riep, maar 't is zo te zien wel waar.
http://seclists.org/lists/bugtraq/2005/Feb/0118.html
Bugtraq: Internet Explorer zone spoofing with encoded URLs
The exploit successfully launches an attacker-supplied EXE
program when the victim user visits a web page containing
the exploit.
Microsoft was informed of the problem on February 16th, 2004.
Remote code execution dus, zonder dat de gebruiker iets
hoeft te doen. Patch na (bijna) 1 jaar: MS05-014
Erik van Straten
> Daarnaast weet je te vertellen dat Microsoft 6
> tot 12 maanden erover doet om een patch uit te
> brengen, waar haal je dit vandaan, je roept
> maar wat.
Het was niet ik die dat riep, maar 't is zo te zien wel waar.
http://seclists.org/lists/bugtraq/2005/Feb/0118.html
Bugtraq: Internet Explorer zone spoofing with encoded URLs
The exploit successfully launches an attacker-supplied EXE
program when the victim user visits a web page containing
the exploit.
Microsoft was informed of the problem on February 16th, 2004.
Remote code execution dus, zonder dat de gebruiker iets
hoeft te doen. Patch na (bijna) 1 jaar: MS05-014
Erik van Straten
Reageren
Deze posting is gelocked. Reageren is niet meer mogelijk.
Ketenregisseur Gedigitaliseerde Criminaliteit en Cybercrime
Ben jij er klaar voor om de leiding te nemen in het bevorderen van de regionale samen-werking in de strijd tegen gedigitaliseerde criminaliteit en cybercrime? Samen met collega's, politie en regionale en landelijke partners? Dan is de dynamische rol van Ketenregisseur Gedigitaliseerde Criminaliteit en Cybercrime bij het Regionaal Samenwerkingsverband Integrale Veiligheid (RSIV) jouw op het lijf geschreven!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Cyber Security Trainer
"You know that feeling after you have been to the cinema and seen an exciting movie? It's the same after this training. I can only say that this is probably the BEST TRAINING that I've ever done!!!”
Are you ready for a challenge?
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.