Onderzoeker ontdekt drie Firefox-lekken
Lekken omslachtig te exploiteren
08 februari 2005 | Lars Pasveer
De Windows-versies van Firefox 1.0 en Mozilla 1.7.5 bevatten drie lekken, stelt een Duitse onderzoeker. Hij geeft op zijn website demonstraties van de geconstateerde problemen. Veiligheidsexpert Michael Krax noemt zijn ontdekkingen Firedragging, Firetabbing en Fireflashing. De techsite Heise bericht over de details van elk probleem.
Firedragging is een zwakke plek in de controle van bestanden die vanuit de browser naar de desktop gesleept worden. Firefox en Mozilla staan dat alleen toe als het om grafische bestanden gaat. Wanneer het om uitvoerbare data gaat, zoals programmaatjes, resulteert het alleen in een tekstlink op de desktop.
Het blijkt echter dat Firefox en Mozilla niet controleren of een bestand mogelijk hybride is. Zo kan iets in de browser een afbeelding lijken, maar uitvoerbare code opleveren wanneer het naar de desktop wordt gesleept. Kwaadwillenden kunnen zo gevaarlijke code op de computer brengen.
Firetabbing is een manipulatie van de
tabbed browsing functionaliteit in combinatie met javascript. Het uitbuiten van het lek is erg omslachtig (een site moet in een reeds bestaand tabblad worden gesleept) maar kan onder bepaalde omstandigheden leiden tot een herconfiguratie (!) van de browserinstellingen.
Fireflashing draait, zoals de naam doet vermoeden, om de weergave van Flash in Firefox. Door een onzichtbaar frame weer te geven in een Flash-animatie (met daarin de pagina about:config, waar alle browserinstellingen zich bevinden) kan de werking van de browser worden verstoord.
Wie denkt in een leeg veld te hebben geklikt, schakelde in werkelijkheid een parameter om. Ook deze exploitatie is complex, maar niettemin potentieel gevaarlijk.
In de zogenaamde
nightly builds (officieuze versies van software) zijn de problemen verholpen, maar het duurt waarschijnlijk tot Firefox 1.0.1 voordat ze ook officieel tot het verleden behoren. Wanneer deze versie uitkomt, is momenteel nog niet bekend.
Lees meer artikels over :
firefox, mozilla, lek, browser
bron: ZDNet
Dit artikel verscheen in de reeks : 2004: Firefox steekt IE naar de kroon
15/04/2009 01:26:54
Origineel bericht van Lode 08/02/2005
Bugs, fouten, exploits, ... zijn INHERENT aan het ontwikkelen van software, wanneer de gebruiker dat eens zou willen inzien, dan zijn we al een heel stap verder. Zolang er maar snel op gereageerd wordt, en de ontwikkelaar de problemen ook effectief verhelpt zonder verdere bijwerkingen. Iets waar Microsoft of en toe een steek laat vallen.
Trouwens, de hoeveelheid bugs in FireFox vallen nog steeds in het niets met die van Internet Explorer. Dus blijf voorlopig nog maar bij je FireFox browser.
15/04/2009 01:26:54
Origineel bericht van Olaf 09/02/2005
En ondertussen hebben ze er weer iets ontdekt (ook Opera en Safari) en deze keer is IE veilig. 
Hoe je het draait of keert, de toekomst zal uitwijzen wie echt veilig was, op dit moment is het nogal arrogant om firefox uit te roepen als veiliger dan IE.
Deze bugs bewijzen al dat Firefox niet zo veilig is dan verwacht, en voor ieder bug, zijn er 10 verborgen bugs. En naarmate dat de Firefox meer en meer gebruikt word, dan zullen de hackers dan ook meer en meer op FireFox concentreren, en hebben ze minder tijd voor IE. 
15/04/2009 01:26:54
Origineel bericht van Olaf 09/02/2005
De vraag is nu hoeveel mensen weten dat ondertussen, en hebben hun browser upgedated?
En dan de vraag, binnen een jaar of zo, naarmate Firefox & co complexer word, zulen ze ook die updates zo snel kunnen uitbrengen?
Er is ondertussen weer iets nieuws ontdekt bij FireFox (ook Opera en Safari), een duidelijk teken dat Firefox enkel maar veilig is als je in de minderheid bent om het te gebruiken, vanaf het wat populair word.... heb je het aan je rekker.
15/04/2009 01:26:54
Origineel bericht van guest 09/02/2005
Deze kan wel geklasseerd worden als ernstig. En te horen reeds gedicht, dus geen vuiltje aan de lucht
15/04/2009 01:26:54
Origineel bericht van Lode 10/02/2005
Als het zo verdergaat, dan gebruik ik terug Internet Explorer
Alle gekheid op een stokje: petje af voor de ontwikkelaars van FF dat de exploits reeds uit de nightly builds gehaald zijn. Een bekend commercieel bedrijf uit Redmond doet er in vele gevallen 6 maanden of langer over om een gekend lek in haar browser te dichten...
15/04/2009 01:26:54
Origineel bericht van ZippyV 10/02/2005
Het grote verschil is dat Microsoft ondersteuning geeft op hun patches en dat bij de nightly builds van FireFox alles op eigen risico is. Daarbij, ik heb de auto-updater van FireFox nog niet zien werken voor dit lek te dichten. Waarschijnlijk zullen we moeten wachten tot de (uitgestelde) versie 1.1.
15/04/2009 01:26:53
Origineel bericht van ZippyV 10/02/2005
Wel Luc, ik wacht met spanning af tot de auto-update van Firefox zijn werk zal doen om dit lek te dichten.
15/04/2009 01:26:53
Origineel bericht van Luc 10/02/2005
Een aantal lekken gevonden en de dag nadien reeds gedicht. Beter en veiliger kan niet.
Voor de zeveraars die firefox hiervoor de grond in gaan boren en bij hun IE zweren dienen dan maar effe aan de deur van Microsoft te gaan kloppen om eens te horen wanneer de patches voor hun zeef, want dat zijn er veel meer dan drie, klaar zal zijn.
15/04/2009 01:26:53
Origineel bericht van Vi Ginder 10/02/2005
Voor die auto-update van FF is niet betaald ....
Voor die auto-update van IE heb je betaald ....
Welke van de twee zou jij het liefst eerst zien komen?
verder zonder woorden
15/04/2009 01:26:53
Origineel bericht van Hyper5nic 13/02/2005
En ook geen reaktie op dit artikel.
Feitelijk snap ik niet waarom je jouw bericht hier post en niet bij een artikel over uitspraken door Gates...
vriendelijke groet
15/04/2009 01:26:53
Origineel bericht van kiji 13/02/2005
Willen we even lachen met William (Bill voor de vrienden)?
http://service.spiegel.de/cache/interna ... 95,00.html
In de Spiegel meent Gates dat een Microsoft Windows monopolie DE oplossing tegen alle computerkwaad: omdat in geval van een OS alle resources naar het beveiligen van dat os kan gaan en omdat -toevallig- bij MS een hele ploeg zowat niks anders doet dan pleistertjes maken....
Gates is hier toch typisch amerikaans bezig, doet me denken aan de hele heise rond ABC-wapens in Irak, die ze nog niet gevonden hebben...ze moeten de onzin die ze uitkramen toch echt geloven, je kan toch niet serieus blijven zo "zwanzen"??
Open bron zou niet in staat kunnen zijn om op virii of lekken te reageren omdat ze geen duizenden werknemers hebben om op bedreigingen te reageren....
Bill vergeet dat ie zich tegenspreekt als hij zegt dat een MS monopolie beter is voor de beveiliging; hij meent namelijk dat windows niet kwetsbaarder is dan pakweg Apple maar populairder door het relatief groot aantal slachtoffers van een succesvol virus. Nu logica zegt mij dat als een bepaald virus erin zou slagen om alle windows pc te besmetten er nu nog pakweg 30% linux, unix, en macs vlotjes zouden draaien...in het geval van een ms monopolie zou dus 100% van alle pc's platgaan...
mooi denkwerk Bill...doe zo voort
en nu verder lachen
15/04/2009 01:26:53
Origineel bericht van Hyper5nic 13/02/2005
In dit artikel gaat het niet om 3 lekken.
1. Het eerste is geen lek noch een bug.
Als iets een gevaar vormt voor de informatie op het toestel en de werking van het toestel van de gebruiker zelf. Pas dan kan je pas spreken van een lek.
Dat Firefox een gesleept bestand alleen een tekstlink op het bureablad zet en niet uitvoert lijkt me al positief. Dat je vervolgens die link zou kunnen aanklikken en er code wordt uitgevoerd is gevaarlijk!
Niet Firefox moet dan beschermen, maar het eigen besturingsysteem of de beveiligingsprogramma's (virusscanner-firewall-malware-detect) horen dan een waarschuwing te geven!
Weet dat ook MS IE het toelaat om door simpelweg rechts te klikken op een hyperlink, een snelkoppeling naar die bewuste plek op het bureablad te plaatsen!
2. Zelfde als de vorige, om te vermijden dat ongewenste code wordt uitgevoerd, kan je je beter beschermen door een - aantal - goede beveiligingsprogramma's.
3. Waarom klikt iemand in een l�©�©g veld??? Als er geen knop of link staat klik je toch niet? Als je geen tekst of iets anders kan selekteren, waarom zou je dan klikken??
Volgens mij heeft deze onderzoeker het veel te ver gezocht!
Vriendelijke groet
15/04/2009 01:26:52
Origineel bericht van Bullseye/Stijn 13/02/2005
Dan is Mozilla FireFox toch niet zoveel veiliger als IE? Wie weet hoeveel lekken ze nog gaan vinden?!? Dat bewijst dat er overal lekken in kunnen gevonden worden. Straks waarschijnlijk ook in linux. Pas op, ik gebruik FireFox en ben er echt SUPERcontent van, vooral door die versneller :p maar als ze dan toch overal lekken in gaan vinden :s
15/04/2009 01:26:51
Origineel bericht van auric Belgie 25/02/2005
Deze lekken lijken mij minder gevaarlijk dan die van IE. Dit vereist interactie van de gebruiker of zeer complexe methoden.
+ het probleem is al verholpen in de nightly builds. bij MS moet je veel langer wachten voor ze er iets aan willen doen.
trouwens, het is inderdaad zo dat ALLE software fouten bevat. Het is de vraag hoeveel en hoe gevaarlijk.
15/04/2009 01:26:51
Origineel bericht van Stavros 25/02/2005
Dus Olaf, we kunnen uit je tekst besluiten dat Firefox veiliger is omdat het minder wordt gebruikt dan IE.
Dan gebruik je op het moment dus best Firefox he. Simpel.
Na hard zoeken 3 'lekken' vinden die de dag erna opgelost zijn is een droom.
Als IE zn honderden lekken volgend jaar gedicht krijgt mag men blij zijn.
Blog : Zakelijke IT
Met de recente lancering van hun eerste update (in Windows termen het equivalent van een Service Pack) voor de vSphere 5 suite staat voor veel bedrijven het licht op groen om hun huidige vSphere 4 omgeving up te graden. Maar hoe eenvoudig is die taak?
lees meer »
in de kijker »
news
De opstarttijd van Windows 8 is zo kort dat er nauwelijks tijd is om in de Veilige Modus te geraken. Microsoft sleutelde daarom flink aan de bootcyclus.
lees meer »
news
In Antwerpen opent vandaag Gamebox, een project waar jongeren onder begeleiding van specialisten kunnen gaan gamen.
lees meer »
help
De webapplicatie Readlists maakt gratis e-books van door jou geselecteerde nieuwsartikelen en verstuurt ze naar je smartphone, tablet of e-reader.
lees meer »
Game
Twintig jaar geleden redde een groepje naamloze helden de wereld. Nu is het aan een nieuwe generatie om de demonen terug richting de hel te sturen.
lees meer »
wedstrijden »
Win 6x Mission: Impossible - Ghost Protocol!
Doe mee »
