image

Lek in Mozilla Firefox onthult vertrouwelijke gegevens

woensdag 1 februari 2006, 10:03 door Redactie, 18 reacties

Aanvallers kunnen door een nieuw lek in Mozilla Firefox vertrouwelijke gegevens van een kwetsbare gebruiker stelen, zo waarschuwt Symantec. Door het lek kan een website "kwaadaardige scriptcode in de context van een willekeurig domein uitvoeren", wat kan leiden tot verschillende aanvallen, waaronder "diefstal van cookie-based authentication credentials".

Het probleem zou ontstaan door de "-moz-binding" eigenschap die gebruikt wordt om de extensible binding language (XBL) via elementen aan cascading style sheets (CSS) toe te voegen. Hierdoor kan een kwaadaardige website toegang krijgen tot delen van een "trusted site" en hier verschillende aanvallen op uitvoeren. Er zou al een exploit voor het lek aanwezig zijn, dat verschillende Firefox versies op verschillende platformen treft. Volgens Symantec is er echter nog geen patch beschikbaar.

Als oplossing wordt aangeraden om Java script uit te schakelen en met zo min mogelijk rechten te surfen.

Reacties (18)
01-02-2006, 10:16 door jeed
Javascript uitschakelen: daar heeft Firefox al heel lang een
extentie voor:
https://addons.mozilla.org/extensions/moreinfo.php?application=firefox&category=Popular&numpg=10&id=722
Uiteraard kan je "vertrouwde" sites wel toegang tot
javascript geven. Werkt prima.
01-02-2006, 10:34 door capricornus
jeed
prima tip: NoScript werkt een ietsiepietsie hinderend, maar
efficient. Ik vind dat FF standaard met NoScript zou moeten
geinstalleerd worden.
01-02-2006, 10:59 door Anoniem
Maar als ik het op de Symantec site goed lees, wordt Firefox
1.5 (niet-beta) helemaal niet genoemd
01-02-2006, 10:59 door almark
ja kan met about:config javascript ook gewoon uitzetten
trouwens op zich heb je daar geen extensie voor nodig.
01-02-2006, 11:05 door Walter
Door almark
ja kan met about:config javascript ook gewoon uitzetten
trouwens op zich heb je daar geen extensie voor nodig.
Probleem daarmee is dat dan javascript ook niet werkt op die
bepaalde sites waar je dit wel zou willen.
Met de NoScript extensie heb je dat probleem niet. Hiermee
zet je javascript uit, en kun je het inschakelen voor sites
die je wel vertrouwd.
01-02-2006, 11:11 door Dalby
nog een reden om opera te gaan gebruiken :-)
01-02-2006, 11:12 door Anoniem
Door jeed
Javascript uitschakelen: daar heeft Firefox al heel lang een
extentie voor:
https://addons.mozilla.org/extensions/moreinfo.php?application=firefox&category=Popular&numpg=10&id=722
Uiteraard kan je "vertrouwde" sites wel toegang tot
javascript geven. Werkt prima.

Dat is toch een oplossing waar door FF-aanhangers een beetje smalend
over gedaan wordt als het om IE gaat?

Handiger is het alleen op de bewuste websites scripting uit te schakelen.
Website in de Restricted sites zone zetten zoals al jaren mogelijk is in IE.

IESpyAd is een handige toepassing daarvoor.
Wellicht is het mogelijk dat om te bouwen ook voor FF
01-02-2006, 11:36 door Anoniem
"through 1.5.0 beta 2 running on all operating systems" & "Volgens
Symantec is er echter nog geen patch beschikbaar."

Jawel, Firefox 1.5 final... Is het weer Microsoft FUD time om exploits te
zoeken in OUDE versies van concurerende producten?
01-02-2006, 13:36 door Anoniem
Door Anoniem
Jawel, Firefox 1.5 final... Is het weer Microsoft FUD time
om exploits te
zoeken in OUDE versies van concurerende producten?
Hoe kom je zo in ene bij Microsoft? Heb ik iets gemist?

Maar goed, het is een redelijk ernstig lek. Laten we hopen
dat Mozilla snel een oplossing bied.
01-02-2006, 14:07 door Anoniem
niet zeuren allemaal FIREFOX 1.5.01 is UIT!!!

http://www.mozilla.com/firefox/releases/1.5.0.1.html
01-02-2006, 15:45 door G-Force
Viel me al op dat in de Thread geen versie van Firefox werd genoemd.
Versie 1.5.0 Beta? Tsja, maar die heb ik al lang niet meer.
02-02-2006, 02:53 door Anoniem
Java is de echte dreiging, javascript is geen dreiging
tenzij verschillende factoren aanwezig zijn om het
gevaarlijk te maken.

Laat me 1, echt 1, voorbeeld zien hoe javascript gevaarlijk
kan zijn voor een goede ingestelde browser ? (ik tel even IE
niet mee om dat dat in zichzelf al een dreiging is)
02-02-2006, 07:51 door [Account Verwijderd]
[Verwijderd]
02-02-2006, 09:15 door Baloe
Door c/k
Een dag later verscheen FF1.5.0.1

Gisteravond rond 23:30 zelf als, 'k vond het best
interresant om die updatefunctie eens aan het werk te zien.
Werkte als een zonnetje
02-02-2006, 18:05 door G-Force
Door pseudoniem
Door c/k
Een dag later verscheen FF1.5.0.1

Gisteravond rond 23:30 zelf als, 'k vond het best
interresant om die updatefunctie eens aan het werk te zien.
Werkte als een zonnetje

Klopt, bij mij dus ook. Behoorlijk stabiel allemaal.
02-02-2006, 18:09 door G-Force
Door pseudoniem
Door c/k
Een dag later verscheen FF1.5.0.1

Gisteravond rond 23:30 zelf als, 'k vond het best
interresant om die updatefunctie eens aan het werk te zien.
Werkte als een zonnetje

Klopt, bij mij dus ook.
02-02-2006, 20:09 door Anoniem
En links, lynx en dillo waren er ook nog.
04-02-2006, 15:16 door Anoniem
Is http://sherina.hotelsxl.com/ een toepassing van deze exploit?
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.