Eigenlijk dus een Firefox/JavaScript lek. Long live NoScript!!

Waarschijnlijk zullen ze sneller patchen dan Microsoft??

In afwachting van een Mozilla update.

Javascript uitschakelen of NoScript adviseren is geen oplossing voor de niet-technische eindgebruiker.
Die wil gewoon kunnen surfen zonder dat soort toestanden en heeft ook niet de kennis om een wel/niet scripts runnen beslissing te kunnen nemen.

Op ftp://ftp.mozilla.org/pub/firefox/nightly/3.6.12-candidates/ staan de candidates van de gepatchte versie van Firefox 3.6 om getest te worden.
Als je wilt kan je meetesten. ;-)

Dat zwaar bejubelde Firefox blijkt net zo Gatenkkaas te wezen als IE .Misschien nog wel erger !

Deze tabel zegt genoeg: http://en.wikipedia.org/wiki/Comparison_of_web_browsers#Vulnerabilities
Daarnaast zitter en in IE technologieën zoals ActiveX, .NET en WMP die het aanvalsvlak vertienvoudigen. Deze worden bijna niet gebruikt in websites maar zijn toch standaard actief in IE.

Techneut zeker? Die denken nog steeds dat de wereld om hen draait. Nou ik heb nieuws voor je, dat doet ie niet.
Je kunt niet van anderen verwachten dat zij hetzelfde denken als jezelf. De meeste mensen zijn gewoon niet geïnteresseerd en verwachten dat zaken gewoon 'out of the box' werken. Het is juist voor fabrikanten en leveranciers de uitdaging om hierin te faciliteren.

En dit lek zit er al jaren in.. Lang leve Firefox!

Hoewel dat niet onwaar is, vind ik het persoonlijk wat ver gaan om cross-site scripting onder Basiskennis te verstaan.

XSS? Waar haal je dat vandaan? Het gaat hier toch 'gewoon' om een javascript exploit?

Misschien is het ook handig om daadwerkelijk de advisory te posten ipv alleen een verhaaltje wat uitlegt hoe erg het allemaal wel niet is: http://www.securityfocus.com/bid/44247/info

Hier zien we niet alleen een PoC exploit (dan weet je tenminste echt hoe het werkt...) maar ook zien we bij 'solution' dat er al voor elke versie op vrijwel elke distro en processor een fix is. Is ook niet heel verwonderlijk, want hoewel security.nl er vandaag pas bij komt is het probleem al sinds 19-10-10 bekent...

Hier nog even een link waar daadwerkelijk uitgelegd wordt waar de fout in de mozilla sourcecode zit en hoe het werkt:
http://xorl.wordpress.com/2010/10/26/cve-2010-3179-mozilla-firefox-document-write-memory-corruption/

@security.nl: waarom geven jullie dit soort informatie er nooit bij? Zijn jullie onder de indruk dat de security.nl-lezers geen code kunnen lezen of iets dergelijks? We zijn niet allemaal microsoft certified sysadmins...

Dat is omdat NoScript niet gebruiksvriendelijk is.

Wel veilig, daar moet ik je gelijk in geven.

Noscript is zelfs voor mijn moeder (1930) niet gebruikersonvriendelijk in vergelijk met de ellende van popupvensters en andere shit.
Cross-site scripting? Dat is toch web 2.0 <grijns> zoals deze website met zijn misselijk makende doubleclick en (minder misswelijk, wmbt) googleanalytics.
Wanneer leren we eens GEEN (shout) third party URLs op onze websites toe te laten/te laten zien. Koop gewoon een white label en doe het onder je eigen domein.

Door Silver: Och we worden niet allemaal "Silver" genoemd.

Kan een technische gebruiker dat wel, dan? Zonder vele uren te verspillen aan het minitieus uitpluizen van alle JavaScriptcode die aan een pagina gekoppeld die niet werkt zonder het in te schakelen, althans. En juist die pagina's slepen bergen code met zich mee. Niet te doen, praktisch gesproken. Als ik een geniaal inzicht mis dat jullie wel hebben hoor ik het graag.

In Firefox 3.6.12 zit dat lek ook.

Als je bedoelt dat websites een stuk moeilijker bruikbaar tot onbruikbaar zijn zou ik willen beargumenteren dat het niet NoScript maar de website zelf is die gebruikersonvriendelijk is.

Je ziet bijvoorbeeld veel websites waar in plaats van:
zoiets staat als:
De aanroep van functie() zou doelpagina.html oproepen, maar als JavaScript uitstaat blijf je in dezelfde pagina staan. Als die functie al iets doet wat met een gewone hyperlink niet kan, dan had er nog altijd beter dit kunnen staan:
Dan blijft de website werken zonder JavaScript. Graceful degradation heet dat, een begrip afkomstig uit de bouw van fouttolerante systemen dat prima op websites toepasbaar is. Toen ik het vak leerde vond ik op de website van het World Wide Web consortium zelfs een pagina die die manier van werken aanraadde, de w3-standaards zijn ontworpen met dit in gedachte. Helaas wordt deze benadering vaak erg slecht, of totaal niet, opgepakt door webontwikkelaars.

Als een webontwikkelaar alleen voor de rijkst uitgeruste browsers ontwikkelt dan houdt hij slecht rekening met de bezoeker. Ook als feature-rijke browsers in principe voor iedereen beschikbaar zijn kunnen er nog steeds redenen zijn om niet alle features te willen gebruiken. Wil je iemand die geen JavaScript aan heeft staan meteen niet meer als klant hebben? Zijn advertentieinkomsten de reden? Vraag die advertentieboeren eens hoe het komt dat ze geen plaatje kunnen leveren zonder clientside-logica. Technisch kan dat best, ook wisselende plaatjes op één URL zijn serverside te implementeren. Het is een "wij ons best doen? pas jij je maar aan ons aan"-mentaliteit, zowel bij de adverteerders als de webontwikkelaars. Ik kan er weinig waardering voor opbrengen, het resultaat is gebruiksonvriendelijk.

Maar bij Firefox werd/word je teminste op de hoogte gehouden.

Ze zullen waarschijnlijk morgen een patch hebben.

Waarschijnlijk worden de SecurityFocus en xorl links niet bij het artikel genoemd, omdat dit een andere kwetsbaarheid is. Lezen mensen, in de comments van de hierboven gelinkte Mozilla security blog post wordt een CVE nummer genoemd, namelijk CVE-2010-3765. Beide links zijn voor CVE-2010-3179, dat is dus een andere kwetsbaarheid.

Mogelijk is dit de patch (info van de twitter van HD Moore) voor deze 0-day:
http://hg.mozilla.org/mozilla-central/rev/cfb2ad811457

een aantal mensen zeggen hier .. als je dit niet weet dat... of "ik begrijp niet dat niet iedereen de no script nog niet geinstalled heeft"

dit vind ik allemaal wat te kort door de bocht. Al heb je verstand van zaken dan kun je nog steeds niet de juiste keuze maken
Als een website van nota bene de nobelprijs deze malware verspreid hoe kun je dan ooit bepalen welke website wel en niet betrouwbaar is.. misschien is security.nl wel besmet.. wie zal het zeggen.. en voor sommige sites moet je java echt gebruiken om er te kunnen doen wat je wilt doen. ( youtube bijvoorbeeld.)

Ow gelijk even een complot theorie de chinezen waren niet zo blij met de laatste prijsuitreiking... zouden zij.... :P

http://www.mozilla.com/en-US/firefox/3.6.12/releasenotes/

Release notes van 3.6.12 kan niet lang meer duren voordat hij officieel wordt vrijgegeven :)

Zou het niet extreem extreem lek moeten zijn? Pff telegraafkoppen..

Firefox 3.6.12:
http://www.mozilla-europe.org/nl/firefox/

Patched ! :) (4:24 28-10-2010)

Wtf? Iemand die zichzelf Zipper306 noemt valt mij aan op mn loginnaam? Heb je ook nog iets ZINVOLS toe te voegen, vrolijkerd?


On topic: Wie denkt dat je gebruikers het gewenste niveau kan bijbrengen om echt veilig te zijn op internet, moet zich laten nakijken. De gemiddelde gebruiker doet er daadwerkelijk *alles* aan om gedaan te krijgen wat hij/zij wil. Als dat een pagina laden is, klikken ze net zo lang door allerlei foutmeldingen en waarschuwingen heen tot ze er zijn. Lukt het niet? Dan proberen we het toch gewoon nog een keer?

Een aantal mensen hier is *echt* te optimistisch over wat je de gemiddelde gebruiker kunt bijbrengen. They. Just. Don't. Care. Ik heb mensen hun schouders zien ophalen in desinteresse NADAT ik ze liet zien dat ze geinfecteerd waren. Mensen die niet in de beroepsgroep zitten gaan het zich nooit afdoende interesseren en daarom is het juist zo belangrijk dat goed gedrag afgedwongen wordt.

is al gepatcht: http://security.nl/artikel/34898/1/Mozilla_dicht_extreem_ernstig_Firefox-lek.html
gewoon updaten dus.

gilbert

is al gepatcht: http://security.nl/artikel/34898/1/Mozilla_dicht_extreem_ernstig_Firefox-lek.html
gewoon updaten dus.

gilbert

Het grote verschil zit 'm echter in het patchen. Er was gisteravond al een patch beschikbaar. Wil ik voor IE nog wel eens zien dat het zo snel gepatched wordt.