Nieuws
image

NoScript beschermt Firefox tegen zero-day lek

vrijdag 27 maart 2009, 11:21 door Redactie, 8 reacties

Gebruikers van Firefox die zich zorgen maken over het gisteren ontdekte zero-day lek in opensource browser, kunnen in afwachting op de update volgende week de extensie NoScript gebruiken. Via de kwetsbaarheid is het mogelijk om willekeurige code uit te voeren en zo het systeem over te nemen, maar niet als men NoScript heeft geïnstalleerd.

"De proof-of-conceprt exploit laat Firefox op Windows, Linux en Mac OS X crashen, zelfs als je NoScript geinstalleerd hebt. Deze crashing bug, zoals de meeste hiervan, is niet te misbruiken als je JavaScript en andere actieve content op de kwaadaardige website hebt uitgeschakeld, omdat de exploit scripting gebruikt om de kwaadaardige lading in de juiste geheugenlocatie te injecteren", zegt NoScript ontwikkelaar Giorgio Maone.

"Daarom kun je eenvoudig overleven totdat de Automatische Update z'n werk doet, zolang je kunt leven met een vervelende, maar ongevaarlijke crash." Iets wat door de session-restore functionaliteit van Firefox geen probleem zou moeten zijn.

Onverantwoord
De beveiligingsonderzoeker die het lek wereldkundig maakte, is net als Maone een Italiaan. Toch heeft hij geen goed woord over voor Guido Landi en noemt zijn actie onverantwoord. "Ik voel me er een beetje schuldig over, omdat Landi net als mij een Italiaan is, niet dat we hier in Italië geen redenen genoeg hebben om ons te schamen", waarbij hij naar premier Silvio Berlusconi verwijst.

Reacties (8)
27-03-2009, 11:55 door Bitwiper
De titel "NoScript beschermt Firefox tegen zero-day lek" is misleidend. Ik heb voor een redelijk aantal bekende sites NoScript zo ingesteld dat Javascript wel is toegestaan; als zo'n site gekraakt wordt ben je met FF, dus ook met NoScript, gewoon de pisang.

Verder merk ik dat ik bij het zoeken naar informatie regelmatig op sites kom waarbij Javascript aangezet moet worden om de site te bekijken. Omdat in de praktijk bijkt dat je niet aan de hand van het uiterlijk van een site kunt bepalen of die site ook goed beveiligd is, is het aanzetten van Javascript gewoon een blinde gok.

Het advies moet dus eigenlijk luiden: wacht met het bezoeken van onbekende sites tot de bug in FF gefixed is, en zet totdat je die fix hebt in geen geval Javascript aan op sites waar dit nog uit staat. Overweeg of je Javascript uit moet zetten voor sites waar dit nu aan staat.
27-03-2009, 13:18 door Anoniem
Wie de PoC-code downloadt en uitpakt vindt drie bestanden: xmlcrash.html, xmlcrash.xml en xslt.xsl.
Plaats die drie bestanden in een mapje en open het html-bestand met Firefox (lokaal dus).
Firefox crasht meteen, ook als Java en Javascript uitstaan onder instellingen.
En ook als standaard NoScript al het onbekende tegenhoudt crasht Firefox meteen.

Zoals in de eerdere discussie al gemeld werd, helpt NoScript niet tegen deze exploit.
Dat desondanks de titel het tegendeel beweert vind ik op z'n zachtst gezegd eigenaardig.
27-03-2009, 13:21 door [Account Verwijderd]
[Verwijderd]
27-03-2009, 19:32 door cyberpunk
Fx 3.0.8 zou (?) al beschikbaar zijn:

http://www.mozilla.com/en-US/firefox/3.0.8/releasenotes/
http://releases.mozilla.org/pub/mozilla.org/firefox/releases/3.0.8/
27-03-2009, 21:43 door D0rus
Nee, 3.0.8 is nog niet uit, een test versie die nu druk getest word is uit. Als ze geen problemen vinden komt 3.0.8 waarschijnlijk maandag uit, hoewel het ook woensdag kan worden.

Verder helpt no-script wel tegen het lek, alleen niet tegen de crash (zoals in het artikel vermeld staat trouwens). De no-script ontwikkelaar heeft beloofd dat de volgende no-script versie ook de crash zal stoppen. Nu maar afwachten wat eerder is, de volgende no-script of de volgende firefox update :)
27-03-2009, 22:19 door nicolaasjan
Door D0rusNee, 3.0.8 is nog niet uit, een test versie die nu druk getest word is uit. Als ze geen problemen vinden komt 3.0.8 waarschijnlijk maandag uit, hoewel het ook woensdag kan worden.

Verder helpt no-script wel tegen het lek, alleen niet tegen de crash (zoals in het artikel vermeld staat trouwens). De no-script ontwikkelaar heeft beloofd dat de volgende no-script versie ook de crash zal stoppen. Nu maar afwachten wat eerder is, de volgende no-script of de volgende firefox update :)
Ojee, Nu heb ik net die versie 3,08 via http://releases.mozilla.org/pub/mozilla.org/firefox/releases/3.0.8/ geinstalleerd...
In mijn virtuele XP weliswaar; maar hij doet het vooralsnog goed...
Ik zie ook nergens dat 't een testversie is...

[update]Het is geen testversie; zie ook http://tweakers.net/meuktracker/19990/mozilla-firefox-308.html
[update.2]Inmiddels komt ie ook via de automatische update functie binnen (in XP althans; nog niet in Ubuntu Linux)
27-03-2009, 23:12 door D0rus
idd, inmiddels komt hij ook via de auto-update, ben hem nu ook aan het binnen hengelen. Toen ik een uur geleden keek stond hij er echter nog niet.

En zoals altijd met mozilla, zolang een update nog niet is aangekondigd zijn ze hem nog aan het testen, en als ze een probleem vinden kunnen ze hem nog altijd terug trekken en een nieuwe maken. Echter hadden ze dan die dan nooit binnen een uur klaar gehad, dus de versie die je daar binnen hengelde zal wel de goede zijn.

Je kunt altijd in help-->Over mozilla firefox--> kijken of daar "Mozilla/5.0 (Windows; U; Windows NT 6.0; nl; rv:1.9.0.8) Gecko/2009032609 Firefox/3.0.8" staat, vooral die Gecko/Datum is belangrijk.
27-03-2009, 23:21 door nicolaasjan
Door D0rusidd, inmiddels komt hij ook via de auto-update, ben hem nu ook aan het binnen hengelen. Toen ik een uur geleden keek stond hij er echter nog niet.

En zoals altijd met mozilla, zolang een update nog niet is aangekondigd zijn ze hem nog aan het testen, en als ze een probleem vinden kunnen ze hem nog altijd terug trekken en een nieuwe maken. Echter hadden ze dan die dan nooit binnen een uur klaar gehad, dus de versie die je daar binnen hengelde zal wel de goede zijn.

Je kunt altijd in help-->Over mozilla firefox--> kijken of daar "Mozilla/5.0 (Windows; U; Windows NT 6.0; nl; rv:1.9.0.8) Gecko/2009032609 Firefox/3.0.8" staat, vooral die Gecko/Datum is belangrijk.
Ja, het is in orde denk ik:
Mozilla/5.0 (Windows; U; Windows NT 5.1; nl; rv:1.9.0.8) Gecko/2009032609 Firefox/3.0.8 :)
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Zoeken
search