Mozilla verhelpt kritieke Pwn2Own-kwetsbaarheden in Firefox 100
Mozilla heeft vandaag beveiligingsupdates uitgebracht voor twee kritieke kwetsbaarheden in Firefox waardoor systemen in het ergste geval volledig zijn over te nemen. Alleen het bezoeken van een malafide of gecompromitteerde website of het te zien krijgen van een besmette advertentie zijn voldoende. Er is geen verdere interactie van de gebruiker vereist.
De twee beveiligingslekken werden gedemonstreerd tijdens Pwn2Own Vancouver, een jaarlijks terugkerende hackwedstrijd waarbij onderzoekers worden beloond voor het laten zien van onbekende kwetsbaarheden. Beveiligingsonderzoeker Manfred Paul liet afgelopen woensdag 18 mei zien hoe hij via twee kritieke lekken in Firefox het onderliggende besturingssysteem kon overnemen. Voor zijn aanval ontving Paul een beloning van 100.000 dollar.
De twee kwetsbaarheden, aangeduid als CVE-2022-1802 en CVE-2022-1529, zijn beide als kritiek beoordeeld en verholpen in Firefox 100.0.2, Firefox ESR 91.9.1 en Firefox voor Android 100.3. Updaten kan via de automatische updatefunctie of Mozilla.org.
Waarom denk je dat? Op Linux en MacOS heb je geen JavaScript of zo? Het zijn twee gecombineerde lekken in JavaScript waardoor een website die je bezoekt de 'parent' van Firefox over kan nemen. Verder is er nog niets bekend dus ik vraag me af hoe je tot je conclusies komt.
Ik zou deze versie van Firefox echt supersnel gaan patchen nu de gepatchte versie te downloaden is van mozilla.org en criminelen dit dus ook kunnen.
En wat probeer je verder te suggereren? Dat Firefox op Linux of macOS opeens immuum is voor JS exploits?
Daarom is er ook nieuwe versie van Firefox voor Androïd uitgekomen waarin deze kwetsbaarheid is verholpen.
Onjuist, je moet je beter informeren.
Onjuist, je moet je beter informeren.
Daarnaast kan je een Linux desktop veiliger inrichten door $HOME filesystem en /tmp niet executeerbaar te maken. Punt van zorg zijn veel meer buffer-overflows in shared memory (selinux protectie) voor het creeren van een file in RAM dat geëxecuteerd kan worden.
Onjuist, je moet je beter informeren.
Onjuist, je moet je beter informeren.
Het verweer "meer aandeel meer ransomware" kan dus ook naar defabeletjeskrant.
Iedere hacker weet dat de kroonjuwelen onder UNIX zijn ondergebracht en dat windows het platform is om binnen te komen en malware te verspreiden. Daarnaast heeft men de supplychain ontdekt omdat die zich ook met windows bezig houdt omdat de UNIX kennis daar ontbreekt of in bed ligt met Microsoft.
Meest gebruikte methoden zijn driveby download infecties of een geïnfecteerd office (andere MS software) bestand als attachment naast RDP en SMB ellende.
Een Linux desktop is nog steeds gevrijwaard van al deze ellende. Een Mozilla kwetsbaarheid lijdt niet tot het volledig overnemen van je Linux desktop. Daarnaast is het patchen superieur.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Cyber Security Trainer
"You know that feeling after you have been to the cinema and seen an exciting movie? It's the same after this training. I can only say that this is probably the BEST TRAINING that I've ever done!!!”
Are you ready for a challenge?
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.