Microsoft en Mozilla ruziën over lekke browser
Het door Thor Larholm ontdekte beveiligingslek is volgens Microsoft een Firefox probleem, terwijl Mozilla laat weten dat Internet Explorer de fout in gaat. Het probleem doet zich voor bij gebruikers die met Internet Explorer surfen, maar ook Firefox hebben geïnstalleerd. Door de IE gebruiker naar een kwaadaardige site te lokken, kan er dan via Firefox code op het systeem worden uitgevoerd.
Mozilla's Window Snyder laat weten dat het probleem zich alleen voordoet bij mensen die met Internet Explorer surfen. "Het is belangrijk om te weten dat als je Firefox gebruikt om het web te surfen, je niet voor deze aanval kwetsbaar bent. Daarom raden we mensen aan om Firefox te gebruiken, en zoals altijd voorzichtig te zijn bij het bezoeken van onbekende websites."
Microsoft's Jesper Johansson zet de tegenaanval in. "Firefox faalt in het valideren van de parameters, en een oplossing moet dan ook van Mozilla, en niet van Microsoft komen." Mozilla liet al weten het probleem in Firefox 2.0.0.5 te zullen patchen.
Beveiligingsonderzoeker Larholm, die het lek uiteindelijk ontdekte, blijft volhouden dat Internet Explorer de schuldige is omdat het quotes niet "escaped" tijdens het doorsturen van input naar de command line. "Je kunt Firefox niet de schuld gegeven omdat het doet wat het verteld wordt te doen, het enige probleem is dat IE ons meer dingen laat specificeren dan oorspronkelijk de bedoeling was."
passed to the protocol and pass them on to the protocol
handler, in this case Firefox." vind ik een veel
belangrijkere zin.
Ja, het is ook een verantwoordelijkheid van softwarebouwers
om input te valideren, maar MS doet nu net alsof ze zelf
geen verantwoordelijkheid hebben om een klant veilig te
houden en alles maar moeten doorspelen wat ze tegen komen.
Zo ken ik er ook nog wel een paar.
om het web te surfen, je niet voor deze aanval kwetsbaar bent."
Ergo; het is wel degelijk een IE probleem
"Het is belangrijk om te weten dat als je Firefox gebruikt
om het web te surfen, je niet voor deze aanval kwetsbaar bent."
Ergo; het is wel degelijk een IE probleem
En als het mogelijk is om via Firefox een kwetsbaarheid in, zeg, notepad
uit te buiten, is dat dan een probleem van notepad of van Firefox?
geen gevaar en alleen IE ook niet zo te lezen.
Microsoft, omdat ze Netschaap uit de markt wilde drukken, en deels door
de EU omdat die dat op een niet-technische manier wilde oplossen.
Hierdoor kan en moet MSIE te veel kunnen...
Oplossing: verbied de bundeling van MSIE, en laat klanten hiervoor betalen
wat de kostprijs is. Immers, producten mag je niet onder de kostprijs
verkopen ten einde concurenten uit de markt te werpen, niet die halfbakken
oplossing die nu in place is.
betalen wat de kostprijs is. Immers, producten mag je niet onder de
kostprijs verkopen ten einde concurenten uit de markt te werpen,"
Zo, zo. ondanks dat het off topic is, vind ik deze oproep aan bijvoorbeeld
hardware leveranciers om hun vele miljoenen dollars medewerking aan
open source op te schorten wel een interessante overweging.
Ik neem overigens aan dat Mozilla dan überhaupt niet meer mag bestaan
van je, want gratis software is dan geen optie meer als ze worden
gepositioneerd tegenover reeds bestaande commerciële varianten.
En huppakee, Apple's Safari, met het OS meegeleverde mediaplayers,
Apache webservers, notepad, alles de markt uit.
Zelfs met een zwart/wit televisie kon je in ieder geval nog grijstinten
beleven...
IE-gebruikers. Dus als MS z'n klanten een dienst wil
bewijzen, lossen ze dit zo snel mogelijk op.
"Oplossing: verbied de bundeling van MSIE, en laat klanten hiervoor
betalen wat de kostprijs is. Immers, producten mag je niet onder de
kostprijs verkopen ten einde concurenten uit de markt te werpen,"
Zo, zo. ondanks dat het off topic is, vind ik deze oproep aan bijvoorbeeld
hardware leveranciers om hun vele miljoenen dollars medewerking aan
open source op te schorten wel een interessante overweging.
Ik neem overigens aan dat Mozilla dan überhaupt niet meer mag bestaan
van je, want gratis software is dan geen optie meer als ze worden
gepositioneerd tegenover reeds bestaande commerciële varianten.
En huppakee, Apple's Safari, met het OS meegeleverde mediaplayers,
Apache webservers, notepad, alles de markt uit.
Zelfs met een zwart/wit televisie kon je in ieder geval nog grijstinten
beleven...
Agreed,
Maar de dieper liggende oorzaak van het technische probleem zit em er
wel in dat IE te zeer is verweven met 't OS van M$. Dus in zoverre kan ik de
analyse wel volgen, alleen de oplossing is krom.
En ja, M$ heeft altijd gelijk want zij zijn de grootste. Daar heb je je als
Mozilla maar aan te conformeren. Zo werkt 't in de hele maatschappij: De
grootsten, rijksten, sterksten leggen de regels op waar de rest zich aan
heeft te houden. "Fact of Life".
Bill heeft altijd gelijk ook al heeft hij totaal
niet gelijk.
Dat is met elke baas zo. Eens zei een personeelschef tegen
mij: "de baas heeft altijd gelijk, ook al heeft ie ongelijk"
quote:Door Iceyoung
Bill heeft altijd gelijk ook al heeft hij totaal
niet gelijk.
Dat is met elke baas zo. Eens zei een personeelschef tegen
mij: "de baas heeft altijd gelijk, ook al heeft ie
ongelijk"
kunnen veroorzaken en toch doen we er niets aan.
staat ,dat de code word uitgevoerd in FireFox en niet in IE .
Daardoor is IE kwetsbaar ,en vind ik het maar logisch dat FireFox gaat
patchen.
Open source mag er voor mij gerust zijn, maar ze moeten zorgen dat ze
anderen niet schaden , wat niet wil zeggen dat ze slecht zijn.
Het is niet omdat je word gezegt spring in de put ,dat je er ook in gaat
springen al weetje dat je verdrinkt als je niet kan zwemmen !!!!!!!
En dat van dat meer dingen gespecificeerd als de bedoeling was, hebben
ze zelf schuld, hadden ze de deur maar dicht moeten houden.
deze cross-browser exploits voorkomen. Installeer daarom in de
nieuwste Firefox de extensie NoScript (versie 1.1.6.0.2)
Zie ook:[/color]
http://www.security.nl/forum/i/152356/
http://noscript.net/
dus. En heel erg laf om dan Microsoft daar de schuld van te geven. Wie
geen Firefox gebruikt, wordt ook niet bedreigd. Zo simpel is het.
[color=red] De nieuwste NOScript extensie voor Firefox kan
deze cross-browser exploits voorkomen. Installeer daarom in de
nieuwste Firefox de extensie NoScript (versie 1.1.6.0.2)
Zie ook:[/color]
http://www.security.nl/forum/i/152356/
http://noscript.net/
Je kunt wel van alles uitschakelen, maar dan kun je beter dat andere
flter gebruiken: de uitknop van je computer. Dan ben je pas echt veilig.
Als Firefox alleen bedreigingen kan tegenhouden door van alles uit te
schakelen, kun je ook een brief en een postzegel gaan gebruiken. Dan
heb je ook geen last meer.
er ook niet over liggen te bekvechten . wie niet en wie wel
wat moet gaan maken . [wat een gedoe altijd om die
explorer's gaten]
Wie goed heeft gelezen, heeft gezien dat er in de eerste
paragraaf
staat ,dat de code word uitgevoerd in FireFox en niet in IE .
Daardoor is IE kwetsbaar ,en vind ik het maar logisch dat
FireFox gaat
patchen.
uitgevoerd kan worden die door FF kan opstarten, dan ligt
het probleem bij Microsoft.
Als er lokaal commando kunnen worden uitgevoerd, kunnen er
net zo gemakkelijk ook andere applicaties als FTP.EXE of
CMD.EXE worden opgestart!
Ik zie ook niet waarom kwaadwillenden met FF zouden willen
gaan surfen als hij/zij ook heel Windows naar de hand kunnen
zetten.
Overigens werken, bij mij, de demo's niet vanuit FF.
http://www.xs-sniper.com/sniperscope/IE-Pwns-Firefox.html
Marcel
wel degelijk de schuld bij Firefox.
Zij-noot: In Vista ben je niet vatbaar voor dit lek dankzij
UAC.
En hoe lang duurt het voordat je dat uitzet?
Beetje kort door de bocht reacties hier. Secunia legt anders
wel degelijk de schuld bij Firefox.
Het probleem bij IE is dat de URL niet wordt geescaped bij
het doorsturen naar de commandline. Dit zou volgens de
regels wel moeten. Vergelijk het met PHP en MySQL. Als je in
PHP niet escaped dan kun je je MySQL db open zetten voor SQL
injection. Dan is de PHP applicatie de schuldige, omdat hij
zijn input niet filtert. Daarom vind ik dat de schuld vooral
bij IE ligt.
Ook omdat de URL handler zo'n krachtige functie is, moet de
applicatie die het aanroept de boel filteren. Net zoals
MySQL die krachtige functies heeft, dat de PHP applicatie
dat moet filteren.
Die URL handler is er bij mozilla er trouwens in gezet voor
compatibility voor Windows Vista.
Bij Firefox is dit probleem niet eens een bug. Ja, het
afhandelen van de commandline zou je kunnen zien als een
bug, maar dit vind ik niet helemaal terecht. Aan firefox
wordt namelijk gewoon correcte syntax via de commandline
meegegeven. Het is alleen dat IE het niet kan filteren. Het
echte probleem bij Firefox is in dit geval, dat er via de
-chrome switch, veel te krachtige functies aanwezig zijn,
waardoor je een process kunt starten, via JavaScript. Dan is
het eigenlijk de vraag voor de Mozilla ontwikkelaars, is het
verstandig om die switch uberhaubt toe te laten?
Samengevat: In IE zit de bug. In Firefox een ontwerp
probleem, die overigens geen probleem hoeft te zijn.
Zet dit in firefoxfix.reg:
--------------
Windows Registry Editor Version 5.00
[-HKEY_CLASSES_ROOTFirefoxURL]
[-HKEY_CLASSES_ROOTFirefoxHTML]
---------------
Draai dit onder Administrator rechten. Eh, voila, niet meer
kwetsbaar. En Firefox werkt nog prima.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Ketenregisseur Gedigitaliseerde Criminaliteit en Cybercrime
Ben jij er klaar voor om de leiding te nemen in het bevorderen van de regionale samen-werking in de strijd tegen gedigitaliseerde criminaliteit en cybercrime? Samen met collega's, politie en regionale en landelijke partners? Dan is de dynamische rol van Ketenregisseur Gedigitaliseerde Criminaliteit en Cybercrime bij het Regionaal Samenwerkingsverband Integrale Veiligheid (RSIV) jouw op het lijf geschreven!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Cyber Security Trainer
"You know that feeling after you have been to the cinema and seen an exciting movie? It's the same after this training. I can only say that this is probably the BEST TRAINING that I've ever done!!!”
Are you ready for a challenge?
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.