Veiligheid Firefox in vraag gesteld
"Geen oplossing voor lek"
02 oktober 2006 | Jamie Biesemans
De Firefox-browser heeft de naam veel veiliger te zijn dan Internet Explorer van Microsoft. Maar volgens twee hackers sukkelt ook het openbrowserprogramma met fundamentele gebreken op beveiligingsvlak.
Tijdens een speech op de ToorCon-hackerconferentie in San Diego toonden Mischa Spiegelmock en Andrew Wbeelsoi hoe Firefox slachtoffer kan worden van een aanval via een fout in de Firefox-interpretatie van Javascript. Maar de kritiek van Spiegelmock en Wbeelsoi gaat verder dan het ene nieuwe lek dat ze op ToorCon demonstreerden. Erger is dat de twee experts van mening zijn dat een oplossing voor de Javascript-kwetsbaarheid bieden onwaarschijnlijk lijkt. "De implementatie van Javascript in Firefox is een knoeiboel. Het is onmogelijk te patchen", concludeerde Spiegelmock.
Spiegelmock en Wbeelsoi beweren ook weet te hebben van dertig lekken in Firefox waarvoor geen oplossing bestaat. De twee hackers zeggen niet van plan te zijn over deze bijkomende lekken te spreken. Nochtans kunnen ze daar wel een mooie som geld mee verdienen. Mozilla Foundation heeft een bughunt-programma dat vijfhonderd dollar per lekmelding uitbetaalt.
De Mozilla Foundation is alleszins niet gelukkig dat de demonstratie malafide hackers op het spoor kan zetten van een nieuwe aanvalsmethode tegen Firefox. "Ik denk dat in de slides voldoende informatie stond zodat een aanvaller het kan reproduceren", zegt de Security Chief van Mozilla, Window Snyder.
Snyder gaf wel toe dat de kwetsbaarheid die Spiegelmock en Wbeelsoi toonden, mogelijk veel werk zal vragen om te patchen. "Als zij zich in de virtuele machine van JavaScript bevindt, zal er geen snelle oplossing zijn."
Sinds het verschijnen van Firefox woeden er heftige discussies of de open browser al dan niet veiliger is dan Internet Explorer. Niet verrassend, want Mozilla Foundation promoot Firefox als een veiliger alternatief voor de browser van Microsoft. Het gaat dan voornamelijk over het gebruik door IE van ActiveX, een alternatief voor JavaScript.
Recente cijfers van Symantec bieden een genuanceerd beeld: in de voorbije zes maanden had Firefox meer lekken dan IE, maar werden kwetsbaarheden veel sneller aangepakt.
Met een bijdrage van Joris Evers, CNet.
Lees meer artikels over :
firefox, browser, javascript
bron: ZDNet
15/04/2009 13:24:16
Origineel bericht van Alex Ernon 02/10/2006
Ze hebben een "Jean-Marie Dedecker" gedaan! 
15/04/2009 13:24:16
Origineel bericht van Aki 02/10/2006
Uiteraard is dit een serieuze brok negatieve reclame voor Firefox, maar het werd nu wel onder de aandacht van de developers gebracht. Ik hoop dat firefox nu snel werk gaat maken van het herimplementeren van de javascript-rendering, zodat dit op een veilige manier gebeurt.
Wat mij betreft mag dit een aparte release zijn, bijvoorbeeld 2.1 of zo, maar dan zonder andere nieuwe features.
15/04/2009 13:24:15
Origineel bericht van Acadia 02/10/2006
Integendeel, ze zijn net van plan het lek te exploiteren om er botnetwerken mee op te zetten voor malafide doeleinden.
Maar bon, dit betekent eigenlijk niets hoor. FF is duidelijk veiliger dan IE. Dat wijst mijn eigen ervaring duidelijk uit.
15/04/2009 13:24:15
Origineel bericht van CeJay 02/10/2006
Acadia;
Graag meer uitleg rond "dat wijst mijn eigen ervaring duidelijk uit".
Greetzzz
15/04/2009 13:24:15
Origineel bericht van Naam 03/10/2006
Pilletje niet gekregen ?
Wie kan dit verwarde betoog vertalen ?
15/04/2009 13:24:15
Origineel bericht van onbekend 03/10/2006
Hoe raak je daar niet aan uit?
ActiveX is een beetje gelijkaardig als een DLL die gewoon executable code bevat zoals een doodnormale exe file. (Het is iets ingewikkelder maar dit is het simpelst uitgelegd) Dus een ActiveX draait aan de snelheid van de processor en is dus praktisch even snel als een normale exe file en heeft praktisch alle mogelikheden als een exe.
Javascript en VB script daarintegen worden geparsed en uitgevoerd dus waarschijnlijk een 1000 tal keer trager dan een ActiveX die gecompileerd is in pure assembler instructies.
In theorie zou javascript en VB script stukken veiliger moeten zijn, zo lang de javascript engine veilig is gemaakt. En dit is bij FireFox dus een ramp van formaat.
ActiveX heb je nodig als je flash wil spelen in je pagina, of filmpkes en ander zaken die veel processorkracht eisen. Alternatief zou Java kunnen zijn maar dat is terug stukken trager dan ActiveX.
Wat wel een goed alternatief zal worden voor ActiveX is .NET modules. Je hebt de securitymodel van java maar de snelheid die vergelijkbaar met ActiveX.
ActiveX w
15/04/2009 13:24:15
Origineel bericht van sjaaksken leuven 03/10/2006
Dat jij zelf een programmeur bent die afhankelijk is van microsofts software is overduidelijk. En wiens brood men eet diens woord men spreekt...
Mozilla programmeurs zijn niet heilig of zijn per definitie geen betere programmeurs. Wel is de mozilla browser in tegenstelling tot internet explorer open source. Mozilla's browser zit ook niet vastgebakken in je OS. De browser zit ook niet genesteld in talloze andere functies van je besturingssysteem. DAAR ligt hem het verschil, indien je geen boodschap hebt aan eerlijke software dan zijn er nog voldoende redenen om GEEN internet explorer te gebruiken. De structuur van internet explorer is inherent onveilig. Praktisch alle spyware geïnfecteerde systemen gebruiken internet explorer en het is over de jaren heen samen met outlook tot de grootste bron van veiligheidslekken en broedpoel voor spyware-infecties geworden.
firefox is niet onfeilbaar. Maar in deze berichtgeving wordt het vel van de beer verkocht voor het geschoten is. Als je lekken vindt in een browser is het elementaire beleefdheid dat je de makers ervan inligt. De manier waarop het hier voorgesteld wordt lijkt me vooral om zoveel mogelijk naambekendheid te verkrijgen, wat zeer gratuite is. Komt daarbij dat een lek in firefox nog altijd niet betekent dat internet explorer daarom veiliger is geworden. Dus vooraleer te vroeg victorie te kraaien zou ik me toch maar even bezinnen.
Er zijn miljoenen gebruikers met iexplorers die geïnfecteerd zijn. Firefox daarentegen..
15/04/2009 13:24:14
Origineel bericht van kiji 03/10/2006
"ActiveX heb je nodig als je flash wil spelen in je pagina, of filmpkes en ander zaken die veel processorkracht eisen. " errh dat zou betekenen dat je in FF, Opera en co geen flash zou kunnen hebben (want werken niet met activeX) Misschien wat muggenziften, maar de verwoording kon wat verwarring zaaien.
Ik denk dat de javascript niet alleen bij FF een probleem is. Gelijkaardige hacks/lekken zouden ook al bij Safari zijn aangetoond en ik neem aan dat Opera nu ook zijn java-engine eens doorlicht. IE ondersteund ook Java, het is misschien de moeite om te kijken of IE niet in hetzelfde bedje ziek is.
Ik ben niet echt thuis in de materie, maar doen IE en ff geen beroep op de java-console van sun? De dells op het werk prompten wel vaker voor een uodate van de Java console. De console van sun zelf (en java) zijn trouwens ook voor een maand gepatched; een 50-tal bugs en lekken als ik me dat goed herinner.
FF is dus echt in geen geval perfect, maar zoals secunia aangeeft is nozilla re sneller bij om te patchen dan IE.
15/04/2009 13:24:14
Origineel bericht van GreazeBlade Boom 03/10/2006
Ter verduidelijking : ActiveX is GEEN alternatief voor javascript! IE ondersteunt ook javascript, alsook vbscript. ActiveX is een 'aaplicatie' die draait binnenin je IE. Hiermee zou je 'in principe' je photoshop kunnen gebruiken binnenin je browser. De Acrobat-reader, de flash en shockwave plugins, de Word en OpenOffice plugins zijn allemaal ActiveX'en en ik zie geen enkele mogelijkheid om deze te gaan vervangen door (clientside) javascript code.
Wel kan het embedden van ActiveX'en bepaalde lekken met zich meebrengen, maar dan vooral te danken aan de plugins zelf!
Ah ja, natuurlijk moet dit nu een hoax zijn he, het kan toch immers niet dat het heilige Firefox lek is he, dat is immers ontwikkeld door onfeilbare, speciaal door God-gestuurde, programmeer-engelen! Wat anders dan het door Satan en zijn gespuis ontwikkelde IE!
Je hebt dus zelf gemerkt dat Firefox 'veiliger' is dan IE!? Ben je dan ooit al eens slachtoffer geweest van zo'n lek (zonder dat je natuurlijk nog met versie 4.x zit)?
Grow up!
15/04/2009 13:24:14
Origineel bericht van Naam 03/10/2006
"Hoe raak je daar niet aan uit?"
Ik begrijp niet wat Satan, God en al die engelen hier komen zoeken. De rest van zijn betoog is al even verward.
ActiveX : "... en heeft praktisch alle mogelikheden als een exe."
Je hebt meteen - onbewust ? - één van de grootste kwetsbaarheden van IE geformuleerd.
"zo lang de javascript engine veilig is gemaakt. En dit is bij FireFox dus een ramp van formaat."
Je hebt me een smakelijke lach ontlokt. 
Ongetwijfeld kun je je boude stelling met feiten illustreren ? In dat geval hangt de halve IT-industrie aan je lippen ...
"ActiveX heb je nodig als je flash wil spelen in je pagina, of filmpkes en ander zaken die veel processorkracht eisen."
Volslagen onzin.
15/04/2009 13:24:14
Origineel bericht van Sjakie. 04/10/2006
Hij zei :"Ah ja, natuurlijk moet dit nu een hoax zijn he, het kan toch immers niet dat het heilige Firefox lek is he, dat is immers ontwikkeld door onfeilbare, speciaal door God-gestuurde, programmeer-engelen!"
En zie nu, hij heeft gelijk.
Maar langs de andere kant lezen we dan weer dit over zijn geliefde OS : http://www.zdnet.be/news.cfm?id=61233
Werken die niet-door-god-gestuurde programmeurs dan te traag of is het bijzaak als Windows effe onveilig aan het worden is ?
15/04/2009 13:24:13
Origineel bericht van Willy Desmedt Aalst 05/10/2006
Jos slaap voort onder uwe gsm mast en met uw dect toestel tegen uw oren. Kom hier nu weer niet het gelerd ventje uithangen over veiligheid van browsers hé. Wat u sterk lijkt is dagelijkse kost voor anderen. Nie vergeten hé.
15/04/2009 13:24:13
Origineel bericht van Jos den os 05/10/2006
"Spiegelmock en Wbeelsoi beweren ook weet te hebben van dertig lekken in Firefox waarvoor geen oplossing bestaat. De twee hackers zeggen niet van plan te zijn over deze bijkomende lekken te spreken. Nochtans kunnen ze daar wel een mooie som geld mee verdienen. Mozilla Foundation heeft een bughunt-programma dat vijfhonderd dollar per lekmelding uitbetaalt."
Hoeveel waarheid zit er dan in hun beweringen? Zomaar eventjes 15 000 dollar naast zich neerleggen... Of zouden ze zo idealistisch zijn dat ze ze niet willen bekendmaken om uitbuiting van het lek te voorkomen? Lijkt mij sterk.
15/04/2009 13:24:13
Origineel bericht van Someone 10/10/2006
Stop met de discussie over veilig internet: Het is een illusie...
15/04/2009 13:24:13
Origineel bericht van Someone Else Planet Earth 10/10/2006
@Someone
Je hebt een punt met te zeggen "...veilig internet: Het is een illusie...".
Maar men kan het nog altijd zo veilig mogelijk "proberen" te houden.
Daarom deze "discussie" over veiligheid.
Men zegt toch ook niet:
"Zet maar een plastik raampje in je deurgat, want veiligheid is toch een illusie."
Greetz
Blog : Zakelijke IT
Met de recente lancering van hun eerste update (in Windows termen het equivalent van een Service Pack) voor de vSphere 5 suite staat voor veel bedrijven het licht op groen om hun huidige vSphere 4 omgeving up te graden. Maar hoe eenvoudig is die taak?
lees meer »
in de kijker »
news
De opstarttijd van Windows 8 is zo kort dat er nauwelijks tijd is om in de Veilige Modus te geraken. Microsoft sleutelde daarom flink aan de bootcyclus.
lees meer »
news
In Antwerpen opent vandaag Gamebox, een project waar jongeren onder begeleiding van specialisten kunnen gaan gamen.
lees meer »
help
De webapplicatie Readlists maakt gratis e-books van door jou geselecteerde nieuwsartikelen en verstuurt ze naar je smartphone, tablet of e-reader.
lees meer »
Game
Twintig jaar geleden redde een groepje naamloze helden de wereld. Nu is het aan een nieuwe generatie om de demonen terug richting de hel te sturen.
lees meer »
wedstrijden »
Win 6x Mission: Impossible - Ghost Protocol!
Doe mee »
