Firefox lek laat aanvallers interne netwerk scannen
De Mozilla stichting heeft een update voor haar open source browser uitgebracht waarin een beveiligingslekje is verholpen. Firefox 1.5.0.11 en 2.0.0.3 verhelpen een probleem waardoor een aanvaller via een website op een speciaal gemaakte FTP server, een poortscan op het netwerk achter de firewall kan uitvoeren. Op zich veroorzaakt dit geen schade, maar de informatie over het interne netwerk is handig voor een aanvaller mochten er andere beveiligingsproblemen op het netwerk zijn, aldus de browserontwikkelaar.
Tevens zijn er verschillende compatibiliteitsproblemen verholpen. Updaten naar de nieuwe versie kan via de automatische update functie van de browser of Mozilla.com.
geen "oplossing"?
Biedt NoScript mij nu de gewenste veiligheid of moet ik toch upgraden?
Biedt NoScript mij nu de gewenste veiligheid of moet ik toch upgraden?
Firefox loopt nu stabiel. Ik wacht eerst de berichten af of het een stabiele
versie is. Nooit zomaar upgraden toch?
Firefox loopt nu stabiel. Ik wacht eerst de berichten af of het een stabiele
versie is. Nooit zomaar upgraden toch?
Eens, maar in dit geval:
"De Mozilla stichting heeft een update voor haar open source browser
uitgebracht waarin een beveiligingslekje is verholpen."
"Tevens zijn er verschillende compatibiliteitsproblemen verholpen."
niet zomaar lijkt mij ;-)
Firefox loopt nu stabiel. Ik wacht eerst de berichten af of
het een stabiele
versie is. Nooit zomaar upgraden toch?
Eens, maar in dit geval:
"De Mozilla stichting heeft een update voor haar open
source browser
uitgebracht waarin een beveiligingslekje is verholpen."
"Tevens zijn er verschillende compatibiliteitsproblemen
verholpen."
niet zomaar lijkt mij ;-)
Ze weten alleen nog geen raad met java 6.0
(foutmelding na upgrade, maar java werkt wel gewoon)
Waar blijft die NoScript commentaar nu? Oh, bied het dit
keer toch
geen "oplossing"?
Er is een update voor Firefox vandaag uitgegeven die het lek
verhelpt. Bovendien kun je geen poortscan voorkomen door een
scriptblokker te gebruiken. Dat zijn twee totaal verschillende dingen.
The FTP protocol includes the PASV (passive) command which is used by Firefox to request an alternate data port. The specification of the FTP protocol allows the server response to include an alternate server address as well, although this is rarely used in practice.
mark(at)bindshell.net reported that a malicious web page hosted on a specially-coded FTP server could use this feature to perform a rudimentary port-scan of machines inside the firewall of the victim. By itself this causes no harm, but information about an internal network may be useful to an attacker should there be other vulnerabilities present on the network.
Mozilla clients will now ignore the alternate server address.
Biedt NoScript mij nu de gewenste veiligheid of moet ik toch
upgraden?
Controleren op updates. Daarop klikken en je krijgt de nieuwste versie.
Firefox loopt nu stabiel. Ik wacht eerst de berichten af of
het een stabiele
versie is. Nooit zomaar upgraden toch?
Eens, maar in dit geval:
"De Mozilla stichting heeft een update voor haar open
source browser
uitgebracht waarin een beveiligingslekje is verholpen."
"Tevens zijn er verschillende compatibiliteitsproblemen
verholpen."
niet zomaar lijkt mij ;-)
Ze weten alleen nog geen raad met java 6.0
(foutmelding na upgrade, maar java werkt wel gewoon)
Daar heb je het al. Ik gebruik ook Java 6.0 (is echt nodig). Ik wil geen
foutmeldingen zien, ook al lijkt het goed te werken.
Firefox loopt nu stabiel. Ik wacht eerst de berichten af of
het een stabiele
versie is. Nooit zomaar upgraden toch?
Eens, maar in dit geval:
"De Mozilla stichting heeft een update voor
haar open
source browser
uitgebracht waarin een beveiligingslekje is
verholpen."
"Tevens zijn er verschillende
compatibiliteitsproblemen
verholpen."
niet zomaar lijkt mij ;-)
Ze weten alleen nog geen raad met java 6.0
(foutmelding na upgrade, maar java werkt wel gewoon)
Daar heb je het al. Ik gebruik ook Java 6.0 (is echt nodig).
Ik wil geen
foutmeldingen zien, ook al lijkt het goed te werken.
Dan doe je maar een clean install ipv een upgrade, krijg jij
die foutmelding niet te zien en werkt het nog steeds hetzelfde
firefox zelf. Ik zie ook niet echt een reden, om niet over
te gaan op een nieuwe update.
Firefox loopt nu stabiel. Ik wacht eerst de berichten af of
het een stabiele
versie is. Nooit zomaar upgraden toch?
Eens, maar in dit geval:
"De Mozilla stichting heeft een update voor
haar open
source browser
uitgebracht waarin een beveiligingslekje is
verholpen."
"Tevens zijn er verschillende
compatibiliteitsproblemen
verholpen."
niet zomaar lijkt mij ;-)
Ze weten alleen nog geen raad met java 6.0
(foutmelding na upgrade, maar java werkt wel gewoon)
Daar heb je het al. Ik gebruik ook Java 6.0 (is echt nodig).
Ik wil geen
foutmeldingen zien, ook al lijkt het goed te werken.
Dan doe je maar een clean install ipv een upgrade, krijg jij
die foutmelding niet te zien en werkt het nog steeds
hetzelfde
Ik gebruik al Java 6.0 sinds het uit is en ik heb absoluut
nog nooit enig probleem gehad met Firefox (ook niet met IE
trouwens).
Waar blijft die NoScript commentaar nu? Oh, bied het dit
keer toch
geen "oplossing"?
(http://bindshell.net/papers/ftppasv/ftp-pasv-poc-v1.0.zip)
downloadt, unzipt en de file "ftp-pasv-demo1.html" opent met
FF zie je een titel: "Javascript FTP PASV Portscanner Demo".
Een en ander staat beschreven in
http://bindshell.net/papers/ftppasv/ftp-client-pasv-manipulation.pdf.
Omdat NoScript standaard alle Javascript blokkeert, behalve
voor sites die ik vertrouw, werkt de exploit niet. Pas nadat
ik JavaScript tijdelijk toesta voor de html-file en de
pagina opnieuw laad, verschijnt een melding dat men de code
moet aanpassen om de exploit te laten werken.
Zo kan je zelf poc's testen :)
Deze posting is gelocked. Reageren is niet meer mogelijk.
Ketenregisseur Gedigitaliseerde Criminaliteit en Cybercrime
Ben jij er klaar voor om de leiding te nemen in het bevorderen van de regionale samen-werking in de strijd tegen gedigitaliseerde criminaliteit en cybercrime? Samen met collega's, politie en regionale en landelijke partners? Dan is de dynamische rol van Ketenregisseur Gedigitaliseerde Criminaliteit en Cybercrime bij het Regionaal Samenwerkingsverband Integrale Veiligheid (RSIV) jouw op het lijf geschreven!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Cyber Security Trainer
"You know that feeling after you have been to the cinema and seen an exciting movie? It's the same after this training. I can only say that this is probably the BEST TRAINING that I've ever done!!!”
Are you ready for a challenge?
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.