Firefox-aanval dupeert IRC-gebruikers
Door een lek in Mozilla Firefox zijn talloze IRC-kanalen met spam vervuild. Het probleem wordt actief misbruikt door hackers, die JavaScript in weblinks verstoppen. Zodra een Firefox-gebruiker de link opent, maakt die gedwongen verbinding met een IRC-kanaal. In het geval van IRC-gebruikers met Firefox, begint de browser met het verspreiden van spam in het kanaal. De aanval zou al een maand gaande zijn en met name bij het Freenode netwerk voor problemen zorgen. Veel gebruikers worden verbannen doordat ze op een linkje klikken en vervolgens een kanaal "flooden" en vervuilen.
Het kwaadaardige JavaScript misbruikt een feature die Firefox data over verschillende poorten laat versturen, die niets met browsen hebben te maken. Door het script over poort 6667 te relayen, maken gebruikers die op de link klikken automatisch verbinding met een IRC-server. De aanval werkt niet met Internet Explorer of Safari, maar andere browsers zouden mogelijk wel kwetsbaar zijn. Freenode zegt aan het probleem te werken en adviseert gebruikers om voorzichtig te zijn bij het openen van URLs en bezoeken van websites.
VoIP
Beveiligingsonderzoeker Robert 'RSnake' Hansen noemt de aanval "interprotocol exploitation." Het is de eerste keer dat hij het in het wild ziet voorkomen. "We hebben het er al een tijd over gehad dat deze aanval mogelijk is. Browsers zouden absoluut niet in staat moeten zijn om met niet HTTP-gerelateerde poorten verbinding te maken." Ook andere internet technologieën zoals session initiation protocol (SIP), gebruikt voor Voice over IP, is volgens de hacker kwetsbaar voor misbruik.
(het is iets overdreven, maar het gaat om het punt)
Openheid is eerlijkheid. En met eerlijkheid kan je alles winnen.
inderdaad ja.. die 3 woorden waren eigenlijk al genoeg geweest.
Zelf ben ik een fervent FF gebruiker en OSS aanhanger maar ik vind het van de zotte dat bij een objectief nieuwsitem over een vulnerability bij FF er gelijk mensen gaan schreeuwen over het in hun ogen onveilige IE8.
En zoals Dhr./Mevr. Anoniem al aangaf, met de FF add-on "NoScript" kun je al heel veel tegenhouden. Helaas is het zo dat ik het NoScript tooltje niet gebruik op de computers van mijn (kleine) kinderen, omdat het voor hun niet gebruiksvriendelijk genoeg is. En zo kan ik mij meer FF gebruikers voorstellen die daar last van ondervinden.
Die opmerking in het artikel dat browsers eigenlijk niet zomaar op ieder poortje info kunnen sturen vind ik zeer terecht. Laat Mozilla hier maar een mooie patch van maken (eventueel met de optie om de "feature" van het sturen naar andere poorten weer aan te zetten).
overmorgen dus.
...maar ik vind het van de zotte dat bij een objectief nieuwsitem over een vulnerability bij FF er gelijk mensen gaan schreeuwen over het in hun ogen onveilige IE8.
Ik weet niet of het is opgevallen, maar de allereerste reactie was een sarcastische sneer richting FF gebruikers en niet andersom. 2de reactie.. was geen bash.
3de reactie.. was geen bash maar pure waarheid
4de reactie was van mij... tja.. je zou dat een IE8 bash kunnen noemen.. ik noem het een koekje van eigen deeg.
M$ fanboys zijn altijd de eerste die andere programma's/bedrijven/OS'en e.d. beginnen te bashen. Denk maar aan bijv. een VanHoorne die nu niet eens meer als zodanig post, maar het nu anoniem doet. Tja.. nuff said.
IE8 is een hele grote verbetering t.o.v. de vorige versies. Het is bij velen een kwestie van smaak om een bepaalde browser te gebruiken. Elke browser heeft zo z'n voor en nadelen en geen enkele browser is perfect (d.w.z. bug- of kwetsbaarheid vrij)
Deze posting is gelocked. Reageren is niet meer mogelijk.
Chief Information Security Officer
Met jou als Chief Information Security Officer werken we samen aan het inrichten van een digitale leer-, werk- en onderzoeksomgeving en investeren in digitalisering. De beveiliging van alle daarbij gebruikte middelen en informatie én het zorgen voor bewustzijn bij alle partijen is hierbij een belangrijke pijler. Daar kom jij in beeld.
IT Security Officer
Utrecht heeft jou nodig! Als Information Security Officer vertaal je beleid naar technische uitvoering. Dit is cruciaal voor het waarborgen van de informatiebeveiliging van onze inwoners. Je krijgt de kans om betrokken te zijn bij complexe projecten met de nieuwste technologieën en kunt jouw stempel drukken op innovatie. Solliciteer nu!
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.