Nieuws
image

Mozilla patcht ernstige SSL-lekken in Firefox

dinsdag 4 augustus 2009, 09:27 door Redactie, 8 reacties

Twee weken na de vorige update, heeft Mozilla weer een belangrijke patch voor Firefox-gebruikers uitgebracht. Firefox 3.5.2 verhelpt de problemen met SSL-certificaten die tijdens de Black Hat conferentie onthuld werden. Zo kan een aanvaller een SSL-certificaat met een null karakter aanvragen, bijvoorbeeld Paypal.com\0.nepsite.com. Niet alleen keurt de uitgevende Certificate Authority dit goed, de browser negeert de karakters na het null karakter. Daardoor kunnen phishers SSL-certificaten voor legitieme websites aanvragen die niet van henzelf zijn. Het probleem werd door beveiligingsonderzoekers Dan Kaminsky en Moxie Marlinspike ontdekt.

En dat is niet het enige probleem met SSL-certificaten in Firefox. Een probleem in de code die reguliere expressies in certificaten verwerkt, maakt het mogelijk om een certificaat van kwaadaardige code te voorzien en zo de browser en vervolgens het gehele systeem over te nemen. Het derde probleem met SSL-certificaten is volgens Mozilla minder ernstig, maar heeft het wel gepatcht. Een aanvaller kon via een kwaadaardige website een nieuwe tab laden die een gespoofte URL in de adresbalk liet zien. Als de kwaadaardige website van een geldig certificaat was voorzien, nam het gespoofte adres de SSL-indicatoren, zoals een slotje en blauwe balk voor de URL, over.

Via de overige drie kwetsbaarheden kon een aanvaller in twee gevallen willekeurige code uitvoeren. Afhankelijk van de rechten van de ingelogde gebruiker, was het dan mogelijk om het gehele systeem over te nemen.

Firefox 3.0.x
Naast Firefox 3.5 is er ook een update voor Firefox 3.0.x uitgebracht. Versie 3.0.13 verhelpt 3 beveiligingslekken, die allemaal SSL-gerelateerd zijn. De overige problemen waar Firefox 3.5 te maken heeft, zijn niet in de 3.0.x versie aanwezig. Het is niet de eerste keer dat problemen alleen de nieuwe versie treffen. Zo'n drie weken geleden werd er een zero-day beveiligingslek in Firefox 3.5 actief door aanvallers misbruikt. De kwetsbaarheid was niet in Firefox 3.0.x aanwezig. Updaten naar de nieuwe versies kan via de browser zelf of Mozilla.com.

Reacties (8)
04-08-2009, 11:27 door Anoniem
Het lijtk erop dat Internet explorer steeds veiliger wordt. Minder fouten in nieuwere versies, terwijl dit bij Firefox net het omgekeerde is. Ik vermoed dat men de weg een beetje kwijt is bij Mozilla. Maar ja.. Uiteraard is ACID3 veel belangrijker ;)
04-08-2009, 13:22 door Anoniem
Die bug zat al niet eens meer in FF 3.5 (was al gefixed in nss libs) . En volgens mij is FF de enige met een oplossing en zijn andere browsers nog niet met een permanente oplossing gekomen.
04-08-2009, 13:27 door Anoniem
Door Anoniem: Het lijtk erop dat Internet explorer steeds veiliger wordt. Minder fouten in nieuwere versies, terwijl dit bij Firefox net het omgekeerde is. Ik vermoed dat men de weg een beetje kwijt is bij Mozilla. Maar ja.. Uiteraard is ACID3 veel belangrijker ;)

Ohhh, en de certificaatproblemen met IE dan?
04-08-2009, 14:06 door Anoniem
IE8 is idd veel veiliger geworden. Is gewoon een feit! Natuurlijk zullen er hier en daar wat kleine dingen zitten, maar is nu echt veel veiliger. Werkt perfect, snel en hangt nooit. Ik heb wel cert. checker (zonder moeilijke termen te gebruiken) op de browser gezet.
Werkt ook perfect. Geeft aan of de cert. real of fake is. Software is ook van MS.
04-08-2009, 14:30 door Anoniem
Volgens mij was dat de stelling niet. Het is zo dat FF het snelst met een oplossing is voor hun oudere versie, waar andere fabrikanten nog niets hebben gedaan.
04-08-2009, 20:54 door Anoniem
Door Anoniem: Het lijtk erop dat Internet explorer steeds veiliger wordt. /quote]

Nee hoor. Hoe meer veiligheidslekken er voor een product zijn, des te belangrijker is die speler op de markt. Lekken in software die praktisch niemand gebruikt hebben veel minder tot geen media exposure. Andersom redenerend betekent dat dus dat firefox een veel dankbaarder platform is die veel meer in de belangstelling staat, en dus wordt er meer gevonden.

Je kan pas de balans opmaken als beide producten zijn vervangen door iets anders, maar dat duurt nog wel een paar jaartjes heh.
04-08-2009, 21:58 door Anoniem
Even opletten en niet zomaar op reclames van MS afgaan:

Van slashdot.org: " While the release appears to coincide with a patch from Mozilla, every product that uses the Microsoft CryptoAPI is still vulnerable, including Internet Explorer and Outlook."

Redactie: besteed wat meer tijd aan het doornemen van je nieuws; net als het vorige artikel over dit ssl probleem dat op een blackhat conferentie aangekaart is, heeft u ook nu weer Firefox uitgelicht omdat ze aan het werk zijn om patches uit te voeren. U verzuimt echter in beide artikelen te vermelden wat er nog meer kwetsbaar is en nog niet gepatched!
04-08-2009, 23:05 door Anoniem
Door Anoniem: Volgens mij was dat de stelling niet. Het is zo dat FF het snelst met een oplossing is voor hun oudere versie, waar andere fabrikanten nog niets hebben gedaan.

Zonder nu de wijsneus uit te willen hangen, doe ik het toch.
Nar ruim 30 jaar professionele IT ervaring kan ik alleen maar zeggen, fouten worden gemaakt. (punt)
Het echt belangrijke is, hoe ze opgelost worden.... Wie niet waagt, die niet wint, wie niet schijt, die niet stinkt.... de stelling was deze: 'hoe zonder trouwen, toch te kezen' .... ;)
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Zoeken
search