image

Kritiek lek in Firefox en Tor Browser maakt remote code execution mogelijk

zondag 7 februari 2021, 08:15 door Redactie, 25 reacties
Laatst bijgewerkt: 08-02-2021, 11:25

Een kritieke kwetsbaarheid in de Windowsversie van Firefox, Firefox ESR en Tor Browser maakt het mogelijk voor aanvallers om code op systemen van gebruikers uit te voeren waarbij er in het ergste geval volledige controle over het onderliggende systeem kan worden verkregen. Alleen het bezoeken van een kwaadaardige of gecompromitteerde website is voldoende. Er is geen verdere interactie van gebruikers vereist.

Het beveiligingslek bevindt zich in de Angle graphics library. Tijdens het verwerken van gecomprimeerde textures kan een aanvaller een buffer overflow veroorzaken waardoor remote code execution mogelijk is. Gebruikers krijgen het advies om te updaten naar Firefox 85.0.1, Firefox ESR 78.7.1 of Tor Browser 10.0.11. Dit kan zowel via de automatische updatefunctie als Mozilla.org of TorProject.org.

Reacties (25)
07-02-2021, 08:59 door Anoniem
Geld dit ook voor google?

"ANGLE is used as the default WebGL backend for both Google Chrome and Mozilla Firefox on Windows platforms. Chrome uses ANGLE for all graphics rendering on Windows, including the accelerated Canvas2D implementation and the Native Client sandbox environment."

https://github.com/google/angle
07-02-2021, 09:34 door Anoniem
uit de bron : "Note: This issue only affected Windows operating systems. Other operating systems are unaffected.".
07-02-2021, 09:37 door Anoniem
wel goed dat de Mozilla mensen constructief zijn:

https://www.bleepingcomputer.com/news/software/mozilla-fixes-windows-10-ntfs-corruption-bug-in-firefox/
07-02-2021, 10:36 door Anoniem
Door Anoniem: uit de bron : "Note: This issue only affected Windows operating systems. Other operating systems are unaffected.".

Gegeven de summiere informatie op het Tor Blog zou het alleen om een "Windows Only" probleem gaan, maar in afwachting van de update naar de nieuwe Firefox ESR versie leidt een voortijdige herinstallatie van Tor Browser onder Debian, met de Tor Browser Launcher, tot een error 404 code. Dan zit je onder Debian zonder werkende Tor Browser.
07-02-2021, 10:49 door Anoniem
Door Anoniem: uit de bron : "Note: This issue only affected Windows operating systems. Other operating systems are unaffected.".
Niet bepaald voor het eerst. Daarom draai ik in Windows tor en andere browsers standaard virtueel m.u.v tweaks en updates.
07-02-2021, 11:20 door Anoniem
Door Anoniem: uit de bron : "Note: This issue only affected Windows operating systems. Other operating systems are unaffected.".
Het is eigenlijk een Windows bug die je via de browser kon aanvallen. En wellicht ook wel via andere software.
Net zoals dat je grappige dingen kunt krijgen in Windows als je een file PRN of CON of COM1 ofzo noemt.
07-02-2021, 13:49 door Anoniem
En dan beschermt Windows Defender (Win10) hier op geen enkele manier tegen??
07-02-2021, 15:43 door karma4
Door Anoniem: Geld dit ook voor google?
... https://github.com/google/angle
Lijkt weer een google product te zijn. Verrassend wel de connectie met chromium. Zou daar de bron van alle browser problemen op dit moment zitten. Een ieder kopieert wat en een ieder heeft deze zelfde fout.
07-02-2021, 15:50 door Anoniem
Beetje sneu dat dit hier gelijk weer aangegrepen wordt om Windows te bashen. WebGL en WebGL2 zou je sowies uitgeschakeld moeten hebben oa. WebGL fingerprinting onmogelijk te maken.
07-02-2021, 16:00 door walmare
Door Anoniem: uit de bron : "Note: This issue only affected Windows operating systems. Other operating systems are unaffected.".
Het staat er inderdaad met koeienletters bij. Een raadsel waarom security.nl dit soort belangrijke details nooit meldt.
07-02-2021, 16:32 door Anoniem
Door Anoniem:
Door Anoniem: uit de bron : "Note: This issue only affected Windows operating systems. Other operating systems are unaffected.".

Gegeven de summiere informatie op het Tor Blog zou het alleen om een "Windows Only" probleem gaan, maar in afwachting van de update naar de nieuwe Firefox ESR versie leidt een voortijdige herinstallatie van Tor Browser onder Debian, met de Tor Browser Launcher, tot een error 404 code. Dan zit je onder Debian zonder werkende Tor Browser.

Weet niet wat er mis is gegaan, maar dat probleem heb ikzelf niet gehad op Buster.

P.S.
Ik heb webgl altijd disabled in de config.
07-02-2021, 20:07 door Anoniem
Door Anoniem: Weet niet wat er mis is gegaan, maar dat probleem heb ikzelf niet gehad op Buster.

Die error code 404 hangt samen met falen van de "version_check_url" functie van het Launcher script voor de controle op de actuele Tor Browser versie, waarna de download van het Tor Browser pakket faalt en de zaak daardoor vast hangt:

Version Check URL Down #549
https://github.com/micahflee/torbrowser-launcher/issues/549

Wat ik vermoed is dat een tijdelijke server overbelasting op dist.torproject.org door massale downloads van paniekerige Windows gebruikers, in hun poging om hun verouderde Tor Browser versie dadelijk bij te werken, je parten kan spelen.

Een andere mirror in Launcher kiezen kan het probleem oplossen. In mijn geval loste het probleem zich onder Linux een aantal uren later vanzelf op. Daarna kon ik Tor Browser opnieuw zonder problemen onder Linux herinstalleren.


P.S. Ik heb webgl altijd disabled in de config.

WebGL uitzetten is verstandig, maar niet handig als je voor je werk of studie ook PeerTube video's moet bestuderen :-)
07-02-2021, 20:26 door Anoniem
Door Anoniem:
Door Anoniem: uit de bron : "Note: This issue only affected Windows operating systems. Other operating systems are unaffected.".
Het is eigenlijk een Windows bug die je via de browser kon aanvallen. En wellicht ook wel via andere software.
Net zoals dat je grappige dingen kunt krijgen in Windows als je een file PRN of CON of COM1 ofzo noemt.
Kennelijk is de link later veranderd want de eerste keer dat ik daar op klikte stond er iets mbt een NTFS vulnerability
en nu gaat het ineens over OpenGL. Dus het bovenstaande heeft er geen betrekking op.
07-02-2021, 21:54 door Anoniem
Door Anoniem: Beetje sneu dat dit hier gelijk weer aangegrepen wordt om Windows te bashen. WebGL en WebGL2 zou je sowies uitgeschakeld moeten hebben oa. WebGL fingerprinting onmogelijk te maken.
Kijk hier eens naar https://coveryourtracks.eff.org
08-02-2021, 00:36 door Anoniem
Hier wreekt zich weer de totale opmars van dit soort mono-cultuur op Internet.
Het maak weinig uit welk Big Tech global concern het betreft, Google, facebook, Microsoft, CloudFlare, etc.

Wat browser en engines aangaat, is dat al een flink gevaar en hier preciseren en beperken we het tot Google
en m.n. de vendor-lock-in open source code van de Google browser en chromium-kloons, api's, service-scripts etc.

Als alles al vanwege het giga-verdienmodel in bed ligt met Google Chrome en chromium,
gezien de overall profilatie van de Google gerelateerde ad-launching,
doorgezette proliferatie en algoritmische invloed voor profilering etc. -
wat verwacht je dan in feite?

Ik zou het hierbij bijkans geprefereerde bias noemen of info op "need to know-basis" t.b.v. een groot-monoplie.
We worden op grote schaal als eind-gebruikers in de boot genomen, terwijl het heel mooi wordt voorgesteld,
maar de meesten zien echt niet hoe ze steeds bij de code-neus genomen zijn.

Als dit ook zo is, zoals ik aangeef en dit is volgens mijn bescheiden mening zo,
en waarom ook niet, dan begrijpen we wellicht allemaal al,
dat dit veel en veel te ver doorgeschoten is om nog veilig te kunnen zijn.

Zeker als straks extensie api's slechts per specifieke website werken en niet browser-breed.

Maar niemand doet iets. Iedereen blijft op z'n handen zitten
of is zoals ondergetekende een roepende in de woestijn.
Zo neemt de dystopie alleen maar toe.

Naast P2P-beaker en chameleon weet ik al niet meer van alternatieve browsers, die nog wat experimenteel zijn
of nog een ouder model ondersteunen. IE vanwege de toegang tot de onderliggende explorer noem ik maar niet,
die is feitelijk al aan uitfaseren toe, maar kan waarschijnlijk nog niet goed uit het OS worden "gesloopt" zonder gevolgen.;)

#sockpuppet
08-02-2021, 06:24 door botbot
Door Anoniem: Beetje sneu dat dit hier gelijk weer aangegrepen wordt om Windows te bashen. WebGL en WebGL2 zou je sowies uitgeschakeld moeten hebben oa. WebGL fingerprinting onmogelijk te maken.

Ik snap niet waarom je dit bestempeld als Windows bashing. Ik zat, Linux gebruikend, al meteen te zoeken naar updates, maar niet te krijgen. Totdat ik dus las dat het gewoon een Windows only bug is. Lijkt me dus zeer relevante informatie.
08-02-2021, 08:28 door karma4
Door botbot:
Ik snap niet waarom je dit bestempeld als Windows bashing. Ik zat, Linux gebruikend, al meteen te zoeken naar updates, maar niet te krijgen. Totdat ik dus las dat het gewoon een Windows only bug is. Lijkt me dus zeer relevante informatie.
Als het in de open source Angle chromium deel zit lijkt me dat ook belangrijke informatie.
Het is je os-flaming toon die weerstand oproept.
08-02-2021, 09:01 door Anoniem
Door karma4:
Door botbot:
Ik snap niet waarom je dit bestempeld als Windows bashing. Ik zat, Linux gebruikend, al meteen te zoeken naar updates, maar niet te krijgen. Totdat ik dus las dat het gewoon een Windows only bug is. Lijkt me dus zeer relevante informatie.
Als het in de open source Angle chromium deel zit lijkt me dat ook belangrijke informatie.
Het is je os-flaming toon die weerstand oproept.

ja inderdaad maar klaarblijkelijk zit daar dus geen probleem als je de bron goed leest. en daarom is het dus wel relevante informatie zoals je dus zelf al aangeeft.
08-02-2021, 09:34 door Anoniem
Door Anoniem: Hier wreekt zich weer de totale opmars van dit soort mono-cultuur op Internet.
Het maak weinig uit welk Big Tech global concern het betreft, Google, facebook, Microsoft, CloudFlare, etc.

Wat browser en engines aangaat, is dat al een flink gevaar en hier preciseren en beperken we het tot Google
en m.n. de vendor-lock-in open source code van de Google browser en chromium-kloons, api's, service-scripts etc.

Als alles al vanwege het giga-verdienmodel in bed ligt met Google Chrome en chromium,
gezien de overall profilatie van de Google gerelateerde ad-launching,
doorgezette proliferatie en algoritmische invloed voor profilering etc. -
wat verwacht je dan in feite?

Ik zou het hierbij bijkans geprefereerde bias noemen of info op "need to know-basis" t.b.v. een groot-monoplie.
We worden op grote schaal als eind-gebruikers in de boot genomen, terwijl het heel mooi wordt voorgesteld,
maar de meesten zien echt niet hoe ze steeds bij de code-neus genomen zijn.

Als dit ook zo is, zoals ik aangeef en dit is volgens mijn bescheiden mening zo,
en waarom ook niet, dan begrijpen we wellicht allemaal al,
dat dit veel en veel te ver doorgeschoten is om nog veilig te kunnen zijn.

Zeker als straks extensie api's slechts per specifieke website werken en niet browser-breed.

Maar niemand doet iets. Iedereen blijft op z'n handen zitten
of is zoals ondergetekende een roepende in de woestijn.
Zo neemt de dystopie alleen maar toe.

Naast P2P-beaker en chameleon weet ik al niet meer van alternatieve browsers, die nog wat experimenteel zijn
of nog een ouder model ondersteunen. IE vanwege de toegang tot de onderliggende explorer noem ik maar niet,
die is feitelijk al aan uitfaseren toe, maar kan waarschijnlijk nog niet goed uit het OS worden "gesloopt" zonder gevolgen.;)

#sockpuppet
Het gaat niet over Google maar over Firefox, een non-profit organisatie, ontstaan uit de mozilla netscape roots.
08-02-2021, 10:09 door Anoniem
Door botbot:
Door Anoniem: Beetje sneu dat dit hier gelijk weer aangegrepen wordt om Windows te bashen. WebGL en WebGL2 zou je sowies uitgeschakeld moeten hebben oa. WebGL fingerprinting onmogelijk te maken.

Ik snap niet waarom je dit bestempeld als Windows bashing. Ik zat, Linux gebruikend, al meteen te zoeken naar updates, maar niet te krijgen. Totdat ik dus las dat het gewoon een Windows only bug is. Lijkt me dus zeer relevante informatie.

Het is dat mijn collega's en ik in the middle of nowhere, bij 20 graden onder nul, met twee Linux laptops (en een VM met Windows) zaten te knoeien, maar anders zouden we misschien flink in de problemen zijn gekomen. Dat was natuurlijk geheel onze eigen fout. In het vervolg zullen we eerst het Tor Blog en Mozilla Security beter lezen en we zullen nooit meer blind varen op wat Security.NL beschrijft in het geval van zulk alarmerend nieuws.
08-02-2021, 10:17 door Anoniem
Via de gewone updatefunctie (About TorBrowser) wordt 10.0.11 van Tor nog niet aangeboden.
08-02-2021, 12:09 door RuudU
Daar gaan we weer...
Ongecontroleerde buffers! Een klassieke fout die strafbaar moest zijn.:-)
Slimme trucs met buffer overflow bestonden aal voor het Windows tijdperk. En dan maar denken dat het crimineel ze niet kent.
08-02-2021, 18:00 door Anoniem
Door Anoniem: Het is eigenlijk een Windows bug die je via de browser kon aanvallen.
Het is geen Windows-bug, het is een bug in een library die weliswaar specifiek voor Windows is maar die geen onderdeel van Windows is. De library, ANGLE, vertaalt OpenGL-calls naar Direct3D, en is gemaakt door Google.
08-02-2021, 19:58 door Anoniem
Door Anoniem: En dan beschermt Windows Defender (Win10) hier op geen enkele manier tegen??

Windows Defender richt hier niets tegen uit. Andere favoriete antivirus scanners zijn ook zinloos tegen dit soort risico's.
Een firewall, ongeacht welk type, richt hier ook niets tegen uit. Lees je in over hoe je onder Windows een zogeheten Windows Sandbox toe kunt passen, of een andere container waarbinnen je Tor Browser veiliger kunt draaien.
08-02-2021, 20:37 door Anoniem
Door Anoniem: Via de gewone updatefunctie (About TorBrowser) wordt 10.0.11 van Tor nog niet aangeboden.

Het ging hier om een emergency update van Tor Browser specifiek voor Windows. Mocht je met een ander type systeem werken (macOS, Linux of Android), dan volgt de (ongeplande) 10.0.11 update, of hogere versie, vanzelf later. De andere drie genoemde systemen hadden geen last van het geconstateerde probleem waar de Windows versie wel onder leed.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.