Nieuws
image

Lek in IE7 en Firefox geeft aanvallers toegang tot bestanden

dinsdag 13 februari 2007, 10:40 door Redactie, 21 reacties

Een bijna 7 jaar oud beveiligingslek in Firefox geeft aanvallers toegang tot bestanden op de lokale harde schijf, en niet alleen Mozilla's browser is kwetsbaar. Ook gebruikers van Internet Explorer 7 lopen risico. Het probleem doet zich voor doordat een aanvaller de focus van bepaalde toetsaanslagen kan stelen en gebruiken voor het uploaden van bepaalde bestanden.

Een gebruiker moet dan wel de gewenste letters typen, een zin als "I will never find a date. Thanks to computers and books :" is voldoende om het C:BOOT.INI bestand te uploaden naar een website. De kwetsbaarheid is al in 2000 aan Mozilla’s Bugzilla toegevoegd, maar niemand heeft het probleem opgepakt.

Onderzoeker Petko D. Petkov heeft nu ontdekt dat aan de hand van een zelfde techniek op zowel Unix als Windows gevoelige informatie gestolen kan worden, zoals bijvoorbeeld de informatie uit C:WINDOWSsystem32configSAM op Windows en /etc/passwd op Unix systemen.

Zowel Firefox 1.5.x als 2.0.x zijn kwetsbaar. Een verdere uitleg is in dit artikel te vinden. Het testen van de exploit kan hier voor IE browsers en op deze pagina voor Firefox gebruikers.

Onlangs werd er ook een andere kwestbaarheid in de pop-up blocker van Firefox ontdekt die in sommige gevallen aanvallers toegang tot lokale bestanden geeft.

Reacties (21)
13-02-2007, 10:56 door Anoniem
Bij mij werkt dit ook op Internet Explorer 6
13-02-2007, 10:59 door LaFolie
Ik probeer het met Mozilla suite en Seamonkey met No-Script
aan en er gebeurt niets; zonder de No-Script plugin dus
wel... ;)
No-Script Rules !
13-02-2007, 11:20 door almark
Lekker spannend wel om zoiets als de /etc/passwd in te
kunnen zien...
13-02-2007, 11:22 door Anoniem
Doet het niet in Vista en IE 7?
13-02-2007, 11:54 door Anoniem
Door almark
Lekker spannend wel om zoiets als de /etc/passwd in te
kunnen zien...
Neuh hoor, is niet zo spannend als het wordt opgeschreven.
Tenzij je geen shadow file gebruikt, maar dan doe je wel
iets heeeel erg verkeerd.
Alle moderne distro's, *nixen shadowen hun passwd file. Al
jaren.
13-02-2007, 12:41 door Anoniem
Door LaFolie
Ik probeer het met Mozilla suite en Seamonkey met No-Script
aan en er gebeurt niets; zonder de No-Script plugin dus
wel... ;)
No-Script Rules !

Active-X uitschakelen ook.... al jaren!
Of het bewuste domein toevoegen aan de restricted sites zone van IE. Dat
werkt ook al jaren prima.
13-02-2007, 12:57 door Anoniem
Of gewoon zorgen dat je niet standaard onder een admin account werkt!
13-02-2007, 14:37 door Anoniem
Vista niet kwetsbaar. Upgraden mensen!
13-02-2007, 14:38 door Anoniem
En ik dacht dat Microsoft traag was. Mozilla heeft het al 7 jaar in hun
database staan!!! Ik zeg Opera!
13-02-2007, 15:06 door G-Force
Door LaFolie
Ik probeer het met Mozilla suite en Seamonkey met No-Script
aan en er gebeurt niets; zonder de No-Script plugin dus
wel... ;)
No-Script Rules !

Het zelfde weer hier. Ook by de laatste versie van SeaMonkey
werkt dit lek, maar als NoScript aanstaat gebeurt er niets.

Als wordt overgeschakeld naar de IE-tab extensie in SeaMonkey
dan treedt het lek NIET op
13-02-2007, 15:23 door G-Force
Door Anoniem
Door LaFolie
Ik probeer het met Mozilla suite en Seamonkey met No-Script
aan en er gebeurt niets; zonder de No-Script plugin dus
wel... ;)
No-Script Rules !

Active-X uitschakelen ook.... al jaren!
Of het bewuste domein toevoegen aan de restricted sites zone
van IE. Dat
werkt ook al jaren prima.

Natuurlijk werkt dat, alleen bepaalde beveiligingsoftware
zoals Virusscanners werken dan ook niet meer, omdat er
scanners bestaan die nogal zwaar op ActiveX
besturingselementen leunen.
13-02-2007, 15:53 door Anoniem
De test voor Firefox
(http://lcamtuf.coredump.cx/focusbug/ffversion.html) werkt
pas als ik Javascript voor die site (tijdelijk) toesta. Leuk
keyloggertje maar tikt wel beetje langzaam :)
13-02-2007, 16:31 door Anoniem
Door Peter V.
Door Anoniem
Door LaFolie
Ik probeer het met Mozilla suite en Seamonkey met No-Script
aan en er gebeurt niets; zonder de No-Script plugin dus
wel... ;)
No-Script Rules !

Active-X uitschakelen ook.... al jaren!
Of het bewuste domein toevoegen aan de restricted sites zone
van IE. Dat
werkt ook al jaren prima.

Natuurlijk werkt dat, alleen bepaalde beveiligingsoftware
zoals Virusscanners werken dan ook niet meer, omdat er
scanners bestaan die nogal zwaar op ActiveX
besturingselementen leunen.
En WIndows Update uiteraard :-)
13-02-2007, 18:28 door K800i
Het werkt idd niet met IE7 als je Vista hebt.
13-02-2007, 18:53 door Anoniem
Geen punt gebruiken in je taal op het internet werkt ook prima
13-02-2007, 19:14 door Anoniem
Door almark
Lekker spannend wel om zoiets als de /etc/passwd in te
kunnen zien...

In /etc/passwd staat helemaal niets behalve je UID en
login-shell.
Ze bedoelen /etc/shadow, waar je paswoord ge-hashed
in staat.

Dat de auteur dit verschil niet weet geeft te denken of dat
wat in het artikel wordt geclaimt ook daadwerkelijk mogelijk
is onder *nix.
13-02-2007, 20:08 door Anoniem
Upgrade naar Vista dus, dan is IE7 niet kwetsbaar.
13-02-2007, 21:16 door Anoniem
Door Anoniem
Of gewoon zorgen dat je niet standaard onder een admin account werkt!


Te lief! XD
14-02-2007, 09:59 door Anoniem
Met Firefox 3 wordt er niets gelogd, is echter nog in de
alfa status. Zie
http://www.mozilla.org/projects/firefox/3.0a2/releasenotes/
14-02-2007, 17:24 door mrhawkeye
Ik zou die source van die bin file wel eens willen zien.
24-02-2007, 07:26 door Anoniem
Door Anoniem

Upgrade naar Vista dus, dan is IE7 niet kwetsbaar.
WEL HOOR IK heb Vista en IE7 doet het niet meer en daarbij
ik kan het niet opnieuw installeren omdat ik Vista heb en
dan zeggen ze dan heb je het dus niet nodig.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Zoeken
search