Nieuws
image

Waarschuwing voor extreem kritieke lekken in Mozilla Firefox

zondag 8 mei 2005, 15:38 door Redactie, 28 reacties

Er zijn twee ernstige problemen ontdekt in alle versies van Firefox, tot en met versie 1.0.3. Het lek stelt een website in staat om de beveiligings-instellingen van Firefox te omzeilen en code uit te voeren op de PC van het slachtoffer. Het eerste probleem is dat "IFRAME" JavaScript URLs niet goed afgeschermd worden, waardoor ze in de context van een andere URL in het history overzicht uitgevoerd kunnen worden. Het tweede probleem ontstaat doordat input naar de "IconURL" parameter in "InstallTrigger.install()" voor gebruik niet goed gecontroleerd wordt. Om de lekken te misbruiken, die aanwezig zijn in Mozilla Firefox 1.0.3 en eerder, moet de kwaadaardige website software via de browser kunnen installeren. Als oplossing wordt aangeraden om JavaScript en de "Allow web sites to install software" optie onder "Tools - Options - Web Features" uit te schakelen. Er is inmiddels exploit code voor het lek beschikbaar. (FrSIRT)

Reacties (28)
08-05-2005, 15:53 door Anoniem
idd las het net op security focus maar swel klote om
javascript disablen :s hoe moet je nouw je webmail ophalen
bij gmail ? :|
08-05-2005, 16:05 door Anoniem
Waar heb je dat onder Linux (Web Features)?
08-05-2005, 16:05 door Anoniem
oh bij Preferences :)
08-05-2005, 16:30 door Anoniem
en iedereen altijd maar IE afkraken omdat firefox zo geweldig zou zijn :)

hmmja , ok bij IE is er dagenlijks wel iets aan de hand
08-05-2005, 16:34 door Anoniem
"
"Allow web sites to install software" optie onder "Tools - Options
- Web Features" uit te schakelen.

"

Moet dit bij voorbaat niet gewoon uit staan.
Het is altijd laten vragen of niets.
08-05-2005, 17:50 door [Account Verwijderd]
[Verwijderd]
08-05-2005, 17:51 door Anoniem
En weer is het bewijs geleverd dat hoe meer mensen ff gaan gebruiken
hoe meer men vindt. En dit is nog maar het begin.
08-05-2005, 18:14 door bustersnyvel
Door Anoniem
En weer is het bewijs geleverd dat hoe meer mensen
ff gaan gebruiken hoe meer men vindt. En dit is nog
maar het begin.

Is dat een probleem dan? Mozilla lost dit soort problemen
teminste eindeloos veel sneller op dan Microsoft. Het gaat
niet om hoe veel bugs er ergens in zitten, het gaat er om
hoe adequaat deze worden opgelost.

Verder is een lek in MSIE een lek in het OS. Een lek in
Firefox is een lek in een losse applicatie. Dat is nogal een
verschil...
08-05-2005, 19:13 door Anoniem
daar gaan we weer :-)
08-05-2005, 19:30 door Anoniem
Misschien wel een bug, maar de gebruiker moet expliciet
toegang geven om software te installeren right?
08-05-2005, 19:58 door Anoniem
ff overstappen op IE :)
08-05-2005, 19:59 door [Account Verwijderd]
[Verwijderd]
08-05-2005, 20:42 door Anoniem
Door NielsT op zondag 08 mei 2005 19:59

quote:Door Anoniem
Misschien wel een bug, maar de gebruiker moet expliciet
toegang geven om software te installeren right?


Nope, gisteravond even de PoC geprobeerd en gaat
automatisch, je hoeft alleen op een willekeurige plek op een
site te clicken. Screenshot van de eerste PoC:

http://www.helpmij.nl/forum/attachm...achmentid=24764

Je clickt dus ergens op de achterliggende site, dan
verschijnt het installatieschermpje en direct daarna (zonder
dat je iets met het installatiescherm doet) verschijnt de
command prompt.


Ik probeer die poc al een tijdje maar wil niet echt eh...
dit initWithPath(\\\'shutdown -s -t 10 -c "ur getting
pwned"\\\')
heb ik replaced. Zou je mischien een PoC die jij editted
hebt kunnen maillen ?
alvast bedankt

m0r1n3x[at]gmail dot com
08-05-2005, 21:10 door Anoniem
Jeee en iedereen altijd maar zeiken over IE.
08-05-2005, 21:38 door spatieman
probleem zal zich in IE ook voordoen ! :)
08-05-2005, 21:42 door [Account Verwijderd]
[Verwijderd]
08-05-2005, 21:46 door Anoniem
Door bustersnyvel
Door Anoniem
En weer is het bewijs geleverd dat hoe meer mensen
ff gaan gebruiken hoe meer men vindt. En dit is nog
maar het begin.

Is dat een probleem dan? Mozilla lost dit soort problemen
teminste eindeloos veel sneller op dan Microsoft. Het gaat
niet om hoe veel bugs er ergens in zitten, het gaat er om
hoe adequaat deze worden opgelost.

Verder is een lek in MSIE een lek in het OS. Een lek in
Firefox is een lek in een losse applicatie. Dat is nogal een
verschil...
Als je op secunia kijkt blijkt dat sommige exploits al wel 3/4 maanden
open staan. Is dus totale onzin dat ze sneller worden opgepakt.
Volgens mij was firefox net zoals ie een applicatie, hangt van hoe erg het
gat is wat de aanvaller kan doen.

Conclusie: je lult uit je nek.
09-05-2005, 01:12 door Anoniem
ik heb geen werkende exploit gevonden met mijn javascript
enabled firefox 1.0.3

hoe kan dat?
09-05-2005, 09:18 door Anoniem
Dus een firefox die ik op Mac OS X draai kan een Linux
binary installeren en automatisch executen? Yeah, sure!
09-05-2005, 09:32 door Anoniem
Door Anoniem
idd las het net op security focus maar swel klote om
javascript disablen :s hoe moet je nouw je webmail ophalen
bij gmail ? :|
Natuurlijk met IE...een browser die een veiliger of net zo onveilig is
09-05-2005, 09:50 door Anoniem
ach je kunt het altijd nog zelf fixen
09-05-2005, 10:22 door Acumen
Blablabla... Laten we nu gewoon even terug gaan naar je
Nederlandse les van toen je 12 was... "Hoge bomen vangen
veel wind..."

Firefox krijgt meer voet aan de grond en wordt dus
interessant voor eenieder die kwaad wil. IE is al groot en
dus interessant voor eenieder die kwaad wil. Linux wordt
groot en dus interessant voor eenieder die kwaad wil.
Windows is .....

Ach, je begrijpt het vast wel...

Cut the crap! Thanx.

Acumen
09-05-2005, 13:36 door raboof
Firefox krijgt meer voet aan de grond en wordt dus
interessant voor eenieder die kwaad wil.

Jep! en daar wordt 't alleen maar beter van, want lekken
worden (eenmaal gevonden) ook echt gefixed :).

Apache is bijvoorbeeld ook een `hoge boom', en dat is
ondertussen eerder een kracht dan een zwakte gebleken.
09-05-2005, 13:52 door Anoniem
apache is groot en daardoor ook veel vaker het doelwit van
virussen dan IIS...
09-05-2005, 20:06 door Anoniem
Door Anoniem
apache is groot en daardoor ook veel vaker het doelwit van
virussen dan IIS...
Alleen heeft een IIS infectie steeds de grootste impact
ondanks het sterk in de minderheid is. Een aanval op Apache
is dus weinig succesvol.
10-05-2005, 00:37 door Anoniem
Er is niks aan de Hand,ze willen ons alleen bang maken...
Die Kloo**akken.
10-05-2005, 12:44 door Anoniem
Door Anoniem
Er is niks aan de Hand,ze willen ons alleen bang maken...
Die Kloo**akken.

als je in de spiegel kijkt zie je er ook een :P
11-05-2005, 13:56 door Anoniem
De opmerking hierboven over OS/applicatie is terecht: IE
biedt via ActiveX controls rechtstreeks toegang tot het OS,
en dat is iets wat Firefox niet doet.
Dus al is FF nog zo brak, IE is en blijft een veel groter
gevaar.

En dat geldt overigens ook voor de Apache/IIS discussie,
Microsoft bouwt uiteindelijk omgevingen die naadloos te
integreren zijn en heel veel prachtige features bieden, maar
daardoor ook veel eenvoudiger te misbruiken zijn.
Daarmee is nooit gezegd dat Apache of FF clean en veilig
zijn - maar MS zou dit soort zaken moeten sandboxen, niet
continue patchen.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Zoeken
search