NoScipt bijlft een leuke plugin.

"Door het "iframe.contentWindow.focus()" Javascript probleem is het
mogelijk voor een aanvaller om een buffer overflow te veroorzaken waarna
de browser crashed. Inmiddels is er al een exploit voor het probleem
beschikbaar."

1. Volgens Symantec zou niet alleen de browser kunnen crashen, maar
kan de aanvaller het systeem overnemen.

Dan is er sprake van een behoorlijk groot lekje/weaknessje !

2. Ik lees vaak dat er bijna gelijk na een ontdekking er al een exploit
beschikbaar is "ter informatie".

Vragen:
Ter info van wie ? Voor collega's die geen tijd hebben om er een
te maken ? Of hebben die soms de kennis niet voor ?!

Door de toevoeging "alleen als informatie bestemd" wilt men het eigen
laffe geweten sussen, omdat men kan weten dat zo'n exploit misbruikt zal
worden.

Dat is al best snel.Niet zoals bij IE dat je een maand (of
langer moet w8
leve FF

Dit is een punt waar de security gemeenschap al jaren, zoniet tientallen
jaren discussieerd. Wanneer lekken qua details volledig uit de doeken
worden gedaan - al dan niet met proof of concept code (exploit) - dan
spreken we van Full Disclosure.

Full disclosure heeft een duidelijk nadeel en dat de informatie voor en tegen
security gebruikt kan (en zal) worden. Meestal wacht men echter met
volledige disclosure totdat de patch of update beschikbaar is, zodat mensen
niet kwetsbaar hoeven zijn. In dit geval met het firefox lek is dit echter niet
gedaan. Velen in de security gemeenschap zullen dit dan ook
onverantwoord noemen. Ik weet niet of in deze kwestie de exploit ook
gelevert is door degeen die de bug gevonden heeft.

Je kunt je afvragen waarvoor Proof of Concept exploits uberhaupt nodig zijn.
Daar heeft iedereen weer een andere mening over. Sommigen vinden de
PoC gewoon onderdeel van full disclosure, kortom Informatie. Je moet je
bedenken dat in veel gevallen, onderandere ook met deze firefox bug. De
bug echt niet gemakkelijk is om te exploiten (voor overname van het
systeem), zelfs al heb je deze PoC. In dit geval crasht het systeem enkel.
Iemand die nu een goede betrouwbare exploit wil maken moet daar wel
verstand van hebben.

Anderen gebruiken PoC exploits om de makers van software onder druk te
zetten om snel een patch te leveren. Weer anderen doen het gewoon om de
"fame". Ook wordt vaak een PoC gepubliceerd wanneer er onduidelijkheid is
over of een bug uberhaupt wel uitgebuit kan worden.. het is soms zo moeilijk
dat men niet geloofd dat het wel kan.

Mijn mening is. Als niemand de details van de bugs publiceerd, of exploit
code, dan weet ook niemand *echt* dat ze kwetsbaar zijn. Vele "bad guys"
hebben zowieso al snel toegang tot nieuwe exploits die niet openbaar
gemaakt zijn. Als niemand ooit exploits in het openbaar brengt, dan zou men
wel eens onterecht kunnen denken dat een lek ongevaarlijk is.

Upgraden moet je zowieso. Ik vind alleen dat onderzoekers zoveel mogelijk
moeten proberen om mensen ook de kans te geven om te upgraden /
voordat/ de details bekend worden gemaakt.

Met NoScript trad er geen crash op met Firefox 1.5.0.2. Het is daarom altijd raadzaam deze NoScript plugin te installeren. Maar ik zal zeker deze nieuwe update (Firefox 1.5.0.3) ophalen.

Ik ben in iedergeval wel blij dat de Mozilla foundation deze weakness snel zal patchen. Zou Microsoft eens een voorbeeld aan kunnen nemen.