Archief - De topics van lang geleden

Overzicht lek Mozilla-shell

10-07-2004, 12:12 door Anoniem, 5 reacties
WAARSCHUWINGSDIENST BEVEILIGINGSADVIES WD-2004-144

Mozilla "shell:" functionaliteit kwetsbaarheid

Programma: Mozilla, Mozilla Thunderbird en Mozilla Firefox
Versie: Mozilla t/m versie 1.7
Besturingssysteem: Microsoft Windows XP Home Edition & Microsoft
Windows XP Pro


Samenvatting
Er is een beveiligingsprobleem gemeld in Mozilla, Mozilla Firefox en
Mozilla Thunderbird dat het mogelijk maakt voor "foute" sites om een
functionaliteit van Windows XP Pro en Windows XP Home versies te
misbruiken. Mozilla heeft nieuwe versies uitgebracht waarin dit
probleem is opgelost.

Gevolgen
Door het klikken op een link van een kwaadwillende site, kunnen
programma's die op uw pc staat ongewenst worden opgestart.
Tevens maakt deze fout het mogelijk de pc te laten vast lopen.

Oplossingen
Deze problemen zijn opgelost in de volgende versies:

Mozilla 1.7.1
http://ftp.mozilla.org/pub/mozilla.org/mozilla/releases/mozilla1.7.1/mo
zilla-win32-1.7.1-installer.exe

Mozilla Firefox 0.9.2
http://ftp.mozilla.org/pub/mozilla.org/firefox/releases/0.9.2/FirefoxSetu
p-0.9.2.exe

Mozilla Thunderbird 0.7.2
http://ftp.mozilla.org/pub/mozilla.org/thunderbird/releases/0.7.2/Thun
derbirdSetup-0.7.2.exe

Links
Voor meer informatie omtrent dit probleem zie ook:
http://www.mozilla.org/security/shell.html

Technische details
Het probleem is dat Mozilla de toegang tot de "shell:" URI handler niet
beperkt waardoor websites in staat zijn alle met extensies
geassocieerde programma's te openen op uw pc. Een voorbeeld
hiervan is shell:.txt. Als dit als URL wordt ingevoerd, wordt standaard
notepad.exe opgestart.

Bij het uitbuiten van dit beveiligingslek is het niet mogelijk om
parameters mee te sturen naar het op te starten programma waardoor
de kwetbaarheid van deze fout beperkt blijft. Echter, het is natuurlijk
wel mogelijk dat een applicatie wordt opgestart welke bepaalde
beveiligingslekken bevat waardoor het systeem van de gebruiker
alsnog een risico loopt.

Tevens bestaat de mogelijkheid tot een DoS (Denial of service).Door
een URI op te geven naar een niet bestaand bestand opent Mozilla op
dat moment een oneindige hoeveelheid windows tot het systeem vast
loopt.
Reacties (5)
10-07-2004, 13:46 door Anoniem
ships! wist ik nie..!
10-07-2004, 17:12 door Anoniem
De patch was er eergisteravond al.
10-07-2004, 22:38 door Anoniem
Ja, maar zo safe is Mozilla dus ook niet...En dan zeggen ze wat over IE!
10-07-2004, 23:39 door Anoniem
iemand heeft het al eens eerder in een thread hier vermeld,
geen enkel stukje software is 100 % bugvrij.
11-07-2004, 00:51 door Anoniem
Door Anoniem
Ja, maar zo safe is Mozilla dus ook niet...En dan zeggen ze
wat over IE!
Scheef. Ga eens een vergelijking doen. Je mag zelf kiezen:
het aantal bugs, het soort security bugs, de snelheid van
updaten, de kwaliteit van de patches.
Even als voorbeeld: Van de software die al beschikbaar
gesteld was onder het publiek zijn er dit jaar 11 security
gerelateerde bugs in Mozilla gevonden, 9 in Opera en 43 in
IE. Van zowel Mozilla als Opera zijn voor alle bugs zeer
snel effectieve patches verschenen, voor IE is voor nog geen
10% een goed werkende patch beschikbaar en zijn de meeste
patches pas na enkele weken verschenen. Niet echt vreemd dus
dat er meer over IE gezegd wordt .
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Zoeken
search