Waarschuwing voor zeer kritiek lek in Mozilla
Gebruikers van Mozilla zijn gewaarschuwd voor een lek dat door kwaadwillende personen misbruikt kan worden om een kwetsbaar systeem over te nemen. Het lek wordt veroorzaakt door een boundary error in de "MSG_UnEscapeSearchUrl()" functie in "nsNNTPProtocol.cpp" als er NNTP URIs verwerkt worden. Dit kan weer misbruikt worden om een heap-based buffer overflow te veroorzaken, waardoor het mogelijk is dat er willekeurige code op het systeem wordt uitgevoerd. Het lek is aangetroffen in Mozilla 1.7.3 en oudere versies. Er wordt aangeraden om te updaten naar versie 1.7.5. Meer informatie is in deze advisory te vinden. (Secunia)
Mozilla 1.7.3 - Released Sept 13, 2004
Mozilla 1.7.5 - Released December 17, 2004
En twee weken geleden is al een nieuwe versie beschikbaar
gekomen. Ik weet niet of Mozilla dezelfde update tool heeft
als Firefox, maar als dat zo is, dan zijn de meeste mensen
al geupdate :).
misschien was het lek wel bedoeld om er te zin
we zullen het wel nooit te weten komen
bestond het lekje er 4 jaar geleden ook al ?
- Wordt die willekeurige code uitgevoerd in de user-context
of in Administrator?
- Op welk os treedt dit op?
- Zou zoiets interessant kunnen zijn voor schrijvers van
malware?
jammer dat het een freeware pakket s
we zullen het wel nooit te weten komen
voorhebben(wat logisch is, want anders besteden ze er niet
zoveel van hun vrije tijd aan, het zijn tenslotte bijna
allemaal vrijwilligers) en dat de code goed gecontroleerd
wordt denk ik niet dat het de bedoeling van de Mozilla
foundation is om dit lek er in te laten zitten.
vast nog wel te downloaden ergens) en probeer het uit, wat
let je?
De exploit code staat zelfs in de link van het artikel.
Ach, iedereen draait toch al 1.7.5? Wat ik me nog afvraag:
- Wordt die willekeurige code uitgevoerd in de user-context
of in Administrator?
Met de rechten waarmee de gebruiker werkt.. meestal
administrator als je op windows draait..
Alle waar mozilla op draait..
malware?
Natuurlijk.. als mensen massaal de mozilla versie met de bug
blijven draaien.
Het gaat om een buffer overflow conditie.. daarmee kun je
indirect machine-/shellcode uitvoeren. Het blijft toch
lastig te exploiteren, vooral omdat het een heap overflow is
(dynamisch allocated memory). Zo moet de exploit aangepast
worden aan de verschillende installaties. Dat wil zeggen,
als je windows gebruikt met mozilla of linux met mozilla dan
moet je twee verschillende exploits bouwen.. dit omdat
virtuele adressering anders is en omdat de shellcode anders
is. Verder is een heap overflow lastig te exploiten; let op,
meestal wel mogelijk maar het kan wel eens meerdere pogingen
vereisen en werkt radicaal anders op verschillende
besturingssystemen.
Maar het is dus zo.. als iemand wil inbreken op je computer
moeten ze weten welke mozilla versie je gebruikt, op welk
besturingssysteem en welke versie van het besturingssysteem.
Verder moeten ze dus enigszins verstand hebben van het
exploiteren van buffer overflows.. dat toch wel enigszins
oefening en kennis vereist. Een virus zie je er niet zo snel
van komen.
Maar het is dus zo.. als iemand wil inbreken op je computer
moeten ze weten welke mozilla versie je gebruikt, op welk
besturingssysteem en welke versie van het besturingssysteem.
bekende fout uitbuit en je stuurt het de wijde wereld in.
Het gaat - denk ik - vooral om de aantallen, niet om de
specifieke machines. Op een hoop machines zal je kunstwerk
het niet doen maar op een hoop andere wel. En hoeveel een
bepaalde browser gebruikt wordt, kun je op diverse sites
(http://developers.evrsoft.com/articles/ref_web_stats.shtml)
wel vinden. Of je leest de browser id-string uit, al kan die
veranderd zijn.
ben ik nou ook in geVAAR??!
buffer overflow...
http://www.flashpeak.com/sbrowser/
Doe er je voordeel mee...
Deze posting is gelocked. Reageren is niet meer mogelijk.
IT Security Officer
Utrecht heeft jou nodig! Als Information Security Officer vertaal je beleid naar technische uitvoering. Dit is cruciaal voor het waarborgen van de informatiebeveiliging van onze inwoners. Je krijgt de kans om betrokken te zijn bij complexe projecten met de nieuwste technologieën en kunt jouw stempel drukken op innovatie. Solliciteer nu!
Ketenregisseur Gedigitaliseerde Criminaliteit en Cybercrime
Ben jij er klaar voor om de leiding te nemen in het bevorderen van de regionale samen-werking in de strijd tegen gedigitaliseerde criminaliteit en cybercrime? Samen met collega's, politie en regionale en landelijke partners? Dan is de dynamische rol van Ketenregisseur Gedigitaliseerde Criminaliteit en Cybercrime bij het Regionaal Samenwerkingsverband Integrale Veiligheid (RSIV) jouw op het lijf geschreven!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.