Nieuws
image

Noodoplossing voor ernstig Firefox-lek

woensdag 15 juli 2009, 09:23 door Redactie, 16 reacties

Gisteren werd bekend dat er een ernstig beveiligingslek in Firefox 3.5 zit waardoor hackers kwetsbare systemen over kunnen nemen, maar Mozilla heeft een noodoplossing gepubliceerd. In afwachting van een patch adviseert de opensource-ontwikkelaar de volgende instructies uit te voeren en die weer terug te draaien als de update beschikbaar is. De kwetsbaarheid zit in de Just-in-time (JIT) JavaScript compiler van Firefox. Het uitschakelen ervan heeft gevolgen voor de snelheid waarmee Firefox JavaScript verwerkt. Verwacht na het uitvoeren van de volgende instructies verminderde prestaties:

1. Typ about:config in adresbalk van de browser.
2. Typ jit in de Filter box bovenaan de config editor.
3. Dubbelklik de regel met javascript.options.jit.content en verander de waarde in "false".
(In het screenshot rechts moet de waarde nog in false worden veranderd)

Heeft Mozilla het lek gepatcht, dan kan op de volgende manier de optie weer worden ingeschakeld:

1. Typ about:config in adresbalk van de browser.
2. Typ jit in de Filter box bovenaan de config editor.
3. Dubbelklik de regel met javascript.options.jit.content en verander de waarde in "true".

Mozilla laat weten dat het aan een beveiligingsupdate werkt, maar nog niet kan zeggen wanneer die precies verschijnt. "Een Firefox security update wordt pas verstuurd zodra de fix voltooid en getest is." Naast het uitschakelen van JIT kunnen Firefox-gebruikers ook NoScript installeren, dat ook bescherming tegen de exploit biedt.

Reacties (16)
15-07-2009, 09:43 door Anoniem
Het is wel grappig dat als je inderdaad NoScript hebt geïnstalleerd, men 99% van dit soort berichtjes kan negeren ! :)
Ik kan dan ook maar 1 ding concluderen ... NoScript Rulez !
15-07-2009, 09:50 door Anoniem
Of met een andere browser surfen tot de update er is.
15-07-2009, 09:54 door [Account Verwijderd]
[Verwijderd]
15-07-2009, 11:02 door Anoniem
Door Anoniem: Het is wel grappig dat als je inderdaad NoScript hebt geïnstalleerd, men 99% van dit soort berichtjes kan negeren ! :)
Ik kan dan ook maar 1 ding concluderen ... NoScript Rulez !
Inderdaad een handige plugin, maar het is niet helemaal terecht om het zoveel credit te geven. Ik kan bijvoorbeeld ook een nog betere plugin bedenken, noBrowsing, die alle sites blokkeert. Dan kun je in een keer alle berichten over beveiligingsproblemen met Firefox negeren, want je kan niet meer browsen. Mijn ervaring is in elk geval dat ik met NoScript meer ellende dan goeds op de hals haal. Elke site moet ik apart toestemming geven voor het gebruik van javascript. Ik kan niet weten of die sites misschien gehackt zijn en dus dubieuze scripts uitvoeren. Ik heb ook geen tijd om dat te controleren, dus in feite voegt het niet veel toe. Daar bovenop blokkeert het soms dingen zonder dat ik het merk, waardoor sites niet werken zonder duidelijke reden. Dan zet ik noscript maar weer uit en *poef* alles werkt weer. in feite is het dus voor een vrij klein, "paranoide" publiek een mooie plugin, maar voor de gemiddelde internetter te ingewikkeld om goed in te stellen danwel te "pervasive" om echt dagelijks te gebruiken.
15-07-2009, 11:11 door Anoniem
Door de link naar Mozilla is wel te zien dat het hier om Firefox 3.5 gaat, maar misschien toch handig om dit in de titel of uberhaupt in het bericht te vermelden.
15-07-2009, 12:05 door Skizmo
waardoor hackers kwetsbare systemen over kunnen nemen
Windows en Linux werken onderwater heel anders. In hoeverre gaat deze quote nu op als het gaat over multi-platform bugs ? Volgens mij slaat het 'overnemen' namelijk alleen op Windows en niet op Linux, omdat de structuur van Linux niet alles zomaar toelaat wat Windows wel toelaat. Heeft hier iemand info over ?
15-07-2009, 12:56 door Anoniem
Door Anoniem:
Door Anoniem: Het is wel grappig dat als je inderdaad NoScript hebt geïnstalleerd, men 99% van dit soort berichtjes kan negeren ! :)
Ik kan dan ook maar 1 ding concluderen ... NoScript Rulez !
Inderdaad een handige plugin, maar het is niet helemaal terecht om het zoveel credit te geven. Ik kan bijvoorbeeld ook een nog betere plugin bedenken, noBrowsing, die alle sites blokkeert. Dan kun je in een keer alle berichten over beveiligingsproblemen met Firefox negeren, want je kan niet meer browsen. Mijn ervaring is in elk geval dat ik met NoScript meer ellende dan goeds op de hals haal. Elke site moet ik apart toestemming geven voor het gebruik van javascript. Ik kan niet weten of die sites misschien gehackt zijn en dus dubieuze scripts uitvoeren. Ik heb ook geen tijd om dat te controleren, dus in feite voegt het niet veel toe. Daar bovenop blokkeert het soms dingen zonder dat ik het merk, waardoor sites niet werken zonder duidelijke reden. Dan zet ik noscript maar weer uit en *poef* alles werkt weer. in feite is het dus voor een vrij klein, "paranoide" publiek een mooie plugin, maar voor de gemiddelde internetter te ingewikkeld om goed in te stellen danwel te "pervasive" om echt dagelijks te gebruiken.

Ik begrijp deze cynische reactie niet. NoScript is en blijft mijns inziens de beste plugin. Immers dwingt het bouwers van slechte website - het overgrote deel dus - tot het maken van betere sites en het op een juiste manier en plaats toepassen van Javascript e.d.
De door de schrijver gebezigde argumenten zijn dermate absurd en onjuist dat ze geen verdere bespreking behoeven. Het jammer maar je kunt het blijkbaar niet iedereen naar de zin maken.
15-07-2009, 13:08 door cjkos
Door Anoniem:
Door Anoniem: Het is wel grappig dat als je inderdaad NoScript hebt geïnstalleerd, men 99% van dit soort berichtjes kan negeren ! :)
Ik kan dan ook maar 1 ding concluderen ... NoScript Rulez !
Inderdaad een handige plugin, maar het is niet helemaal terecht om het zoveel credit te geven. Ik kan bijvoorbeeld ook een nog betere plugin bedenken, noBrowsing, die alle sites blokkeert. Dan kun je in een keer alle berichten over beveiligingsproblemen met Firefox negeren, want je kan niet meer browsen. Mijn ervaring is in elk geval dat ik met NoScript meer ellende dan goeds op de hals haal. Elke site moet ik apart toestemming geven voor het gebruik van javascript. Ik kan niet weten of die sites misschien gehackt zijn en dus dubieuze scripts uitvoeren. Ik heb ook geen tijd om dat te controleren, dus in feite voegt het niet veel toe. Daar bovenop blokkeert het soms dingen zonder dat ik het merk, waardoor sites niet werken zonder duidelijke reden. Dan zet ik noscript maar weer uit en *poef* alles werkt weer. in feite is het dus voor een vrij klein, "paranoide" publiek een mooie plugin, maar voor de gemiddelde internetter te ingewikkeld om goed in te stellen danwel te "pervasive" om echt dagelijks te gebruiken.


Met de WOT plugin zie je al wat sneller of het een veilige site is, met een Sandboxie zit je ook beter.

Waarom gebruik je een plugin om niet te browsen (da's vast een grapje), de-installeren is in dit geval de beste optie.
15-07-2009, 13:11 door [Account Verwijderd]
[Verwijderd]
15-07-2009, 13:37 door prikkebeen
Door Duckman:
Door Skizmo:
waardoor hackers kwetsbare systemen over kunnen nemen
Windows en Linux werken onderwater heel anders. In hoeverre gaat deze quote nu op als het gaat over multi-platform bugs ? Volgens mij slaat het 'overnemen' namelijk alleen op Windows en niet op Linux, omdat de structuur van Linux niet alles zomaar toelaat wat Windows wel toelaat. Heeft hier iemand info over ?
Kwetsbare systemen. Dat lijkt mij dus duidelijk. Dat zijn systemen waar je standaard als admin in logt.


Ik krijg soms het idee dat er een soort 'erecode' is onder de pers. Ik zie niet zo vaak de naam Windows vallen als het om browser gerelateerde problemen gaat. Het zijn meestal vage meldingen. Het zou helpen als het beestje bij de naam genoemd wordt.
Kortom, als het alleen om Windows systemen gaat mag dat er best bij staan. Als andere systemen hier niet kwetsbaar voor zijn hoeven die niet genoemd te worden.
Je krijgt dan een beter beeld over wie wel en niet maatregelen moeten nemen.

Admin rechten zijn niet altijd alleen de boosdoener. O.a. een gekaapte verbinding naar je bank kan ook in userland plaats vinden.
15-07-2009, 14:12 door Skizmo
Kwetsbare systemen. Dat lijkt mij dus duidelijk. Dat zijn systemen waar je standaard als admin in logt.
Dit is compleet gelul. Kwetsbare systemen zijn systemen die slecht in elkaar zitten, en dat heeft niets met rechten te maken. Mocht iemand een echt antwoord op mijn vraag hebben hou ik mij aanbevolen.
15-07-2009, 14:22 door prikkebeen
Door Skizmo:
Kwetsbare systemen. Dat lijkt mij dus duidelijk. Dat zijn systemen waar je standaard als admin in logt.
Dit is compleet gelul. Kwetsbare systemen zijn systemen die slecht in elkaar zitten, en dat heeft niets met rechten te maken. Mocht iemand een echt antwoord op mijn vraag hebben hou ik mij aanbevolen.

Hieronder je antwoord. Het is Windows only.

"The exploit portal Milw0rm has published an exploit for Firefox 3.5. The exploit demonstrates a security vulnerability by starting the Windows calculator. In testing by heise Security, the exploit crashed Firefox under Vista, but security service providers Secunia and VUPEN confirmed that attackers using prepared websites can infect PCs. The cause of the problem is a buffer overflow when processing specially prepared Font tags."

http://www.h-online.com/security/First-Zero-Day-Exploit-for-Firefox-3-5--/news/113761

Ik had eigenlijk al een vermoeden dat het Windows zou zijn.
15-07-2009, 15:09 door Skizmo
thanx prikkebeen :)
15-07-2009, 15:46 door Bitwiper
Door prikkebeen: Hieronder je antwoord. Het is Windows only.

"The exploit portal Milw0rm has published an exploit for Firefox 3.5. The exploit demonstrates a security vulnerability by starting the Windows calculator. In testing by heise Security, the exploit crashed Firefox under Vista, but security service providers Secunia and VUPEN confirmed that attackers using prepared websites can infect PCs. The cause of the problem is a buffer overflow when processing specially prepared Font tags."

http://www.h-online.com/security/First-Zero-Day-Exploit-for-Firefox-3-5--/news/113761

Ik had eigenlijk al een vermoeden dat het Windows zou zijn.
Als je even doorklikt naar Secunia dan kun je daar lezen:
The vulnerability is caused due to an error when processing JavaScript code handling e.g. "font" HTML tags and can be exploited to cause a memory corruption.
Dat lijkt mij een Firefox bug waarvan het me niets zou verbazen als die platform-onafhankelijk is. Dat de huidige POC alleen werkt onder Windows verzekert mij er niet van dat andere besturingssystemen veilig zijn. Totdat er meer details naar buiten komen, is de aanname dat dit alleen een Windows probleem is, gewoon struisvogelgedrag.

Aanvulling 16:06: zie https://bugzilla.mozilla.org/show_bug.cgi?id=503286
Product: Core
Component: JavaScript Engine
Version: 1.9.1 Branch
Platform: All All

Bronnen: http://isc.sans.org/diary.html?storyid=6796 en
http://blog.mozilla.com/security/2009/07/14/critical-javascript-vulnerability-in-firefox-35/
15-07-2009, 16:08 door prikkebeen
Dat lijkt mij een Firefox bug waarvan het me niets zou verbazen als die platform-onafhankelijk is. Dat de huidige POC alleen werkt onder Windows verzekert mij er niet van dat andere besturingssystemen veilig zijn. Totdat er meer details naar buiten komen, is de aanname dat dit alleen een Windows probleem is, gewoon struisvogelgedrag.

Met wat nu bekend is geldt het inderdaad alleen voor Windows. Het is meteen de reden waarom ik graag wil weten of het meerdere systemen aangaat. Ik word er met mijn Ubuntu pc nerveus van en ben me heel wel bewust dat het een kwestie van tijd is voor er echte cross-platform malware verschijnt.
Er was al eens een bug die de inhoud van het klembord kaapte op alle systemen, er zullen er vast meer volgen.
Struisvogelgedrag is wat jij er van maakt en is niet aan de orde.

Edit: typo

Edit 2: Je was sneller dan mij met je reactie, hulde.
15-07-2009, 23:57 door Anoniem
Mee eens; zeker voor een op "security" gerichte website zou je beter onderbouwde en meer precieze berichtgeving mogen verwachten en dus minstens dat er aangegeven wordt om welke besturingssystemen het gaat. Wat heb je er anders aan? Maar wat en wie zitten er eigenlijk achter deze site? Ik zie alleen maar: The Security Council B.V., Loire 13 2491AJ Den Haag. Zegt mij verder helemaal niks.. Iemand??
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Zoeken
search