Mededeling

Collapse
No announcement yet.

Firefox lekt vertrouwelijke informatie

Collapse
X
  •  
  • Filter
  • Tijd
  • Show
Clear All
new posts

  • Firefox lekt vertrouwelijke informatie

    Mozilla heeft een beveiligingslek in Firefox bevestigd waardoor aanvallers vertrouwelijke informatie kunnen achterhalen. De kwetsbaarheid in het "chrome protocol scheme" wordt veroorzaakt doordat de brower "escaped" karakters niet goed verwerkt. Hierdoor is het mogelijk om een willekeurig javascript bestand op de machine van het slachtoffer te laden. Om de kwetsbaarheid te misbruiken moet het slachtoffer wel een extensie hebben geïnstalleerd die de inhoud niet in een jar archief opslaat, zoals bij bijvoorbeeld de Download Statusbar en Greasemonkey extensies het geval is.

    "Aanvallers kunnen deze manier gebruiken om te achterhalen welke bestanden er op het systeem aanwezig zijn, wat een aanvaller weer informatie geeft over welke applicaties geïnstalleerd zijn. Deze informatie kan worden gebruikt om het systemen te verkennen voor een andere aanval", aldus Mozilla's securitychef Window Snyder. Zoals eerder vermeld lopen alleen mensen die bepaalde extensies / uitbreidingen hebben geïnstalleerd risico.

    security.nl


  • #2
    Je loopt dus 'risico' als je bijvoorbeeld Download Statusbar geïnstalleerd hebt staan, of dan juist niet?
    Het had makkelijker geweest als ze de extensies hadden genoemd waarbij dit 'lek' zich voordoet...
    Ik lees niets over een patch voor dit probleem. Laat Mozilla dit zitten of wordt er inmiddels gewerkt aan een oplossing?

    Comment


    • #3
      Ik denk dat je over een aantal dagen wel een patch / nieuwe versie, kan verwachten.

      Comment


      • #4
        Mozilla patcht ernstig informatielek in Firefox 2.0.0.12

        Het lek in Firefox dat vorige week woensdag werd ontdekt is volgens de Mozilla Stichting toch ernstig te noemen, eerder liet de open source ontwikkelaar nog weten dat de impact wel meeviel. In een update meldt beveiligingschef Window Snyder dat een aanvaller de kwetsbaarheid kan misbruiken om sessie gegevens, zoals sessie cookie en sessie geschiedenis te stelen.

        Standaard is Firefox niet kwetsbaar, er zijn echter meer dan 600 uitbreidingen, extensies en addons, die het lek binnen de browser introduceren. De kwetsbaarheid in het "chrome protocol scheme" wordt veroorzaakt doordat de brower "escaped" karakters niet goed verwerkt. Hierdoor is het mogelijk om een willekeurig javascript bestand op de machine van het slachtoffer te laden.

        Om de kwetsbaarheid te misbruiken moet het slachtoffer wel een extensie hebben geïnstalleerd die de inhoud niet in een jar archief opslaat, zoals bij bijvoorbeeld de Download Statusbar en Greasemonkey extensies het geval is. Snyder zegt dat het probleem in Firefox 2.0.0.12 is verholpen, en dat de nieuwe versie binnenkort zal verschijnen.

        security.nl

        Comment


        • #5
          Morgen patch voor ernstig Firefox informatielek

          Morgen of anders vrijdag hoopt de Mozilla stichting met een update voor haar open source browser Firefox te komen. In januari werd een beveiligingslek ontdekt waardoor aanvallers informatie, zoals logingegevens van PayPal, webmail en andere sites, konden stelen als de gebruiker bepaalde addons had geïnstalleerd. In eerste instantie zag Mozilla het niet als een groot probleem, maar later kwam het toch met een update waarin het liet weten dat het om een ernstige kwetsbaarheid ging.

          Standaard is Firefox niet kwetsbaar, er zijn echter meer dan 600 uitbreidingen, extensies en addons, die het lek binnen de browser introduceren. De kwetsbaarheid in het "chrome protocol scheme" wordt veroorzaakt doordat de brower "escaped" karakters niet goed verwerkt. Hierdoor is het mogelijk om een willekeurig javascript bestand op de machine van het slachtoffer te laden.

          En uitbreidingen zijn populair bij Firefox-gebruikers. Mozilla laat weten dat deze week de 600.000.000ste extensie/addon werd gedownload. Mozilla biedt op haar website inmiddels meer dan 4000 uitbreidingen, en krijgt dagelijks zo'n miljoen downloads te verwerken.

          security.nl

          Comment


          • #6
            Mozilla patcht 10 lekken in Firefox

            De Mozilla Stichting heeft vandaag versie 2.0.0.12 van haar open source browser Firefox gelanceerd, en daarmee tien beveiligingslekken gedicht. Naast het la bekende informatielek, zijn er drie ernstige kwetsbaarheden verholpen waardoor een aanvaller volledige controle over het systeem kan krijgen. In één geval gaat het om meerdere stabiliteitsproblemen, die volgens Mozilla kunnen worden uitgewerkt om willekeurige code op het systeem van het slachtoffer uit te voeren.

            De overige zes updates zijn voor minder grote problemen, maar nog steeds wel vervelend. Zo kan een aanvaller opgeslagen wachtwoorden beschadigen, verschillende dialoogvensters manipuleren, vertrouwelijke informatie achterhalen en zelfs in sommige gevallen lokale bestanden stelen. Updaten kan via de browser zelf of Mozilla.com.

            security.nl

            zie ook : Updates FireFox/ Thunderbird

            Comment


            • #7
              Oorspronkelijk geplaatst door EotT Bekijk Berichten
              Mozilla patcht 10 lekken in Firefox

              De Mozilla Stichting heeft vandaag versie 2.0.0.12 van haar open source browser Firefox gelanceerd, en daarmee tien beveiligingslekken gedicht. Naast het la bekende informatielek, zijn er drie ernstige kwetsbaarheden verholpen waardoor een aanvaller volledige controle over het systeem kan krijgen. In één geval gaat het om meerdere stabiliteitsproblemen, die volgens Mozilla kunnen worden uitgewerkt om willekeurige code op het systeem van het slachtoffer uit te voeren.

              De overige zes updates zijn voor minder grote problemen, maar nog steeds wel vervelend. Zo kan een aanvaller opgeslagen wachtwoorden beschadigen, verschillende dialoogvensters manipuleren, vertrouwelijke informatie achterhalen en zelfs in sommige gevallen lokale bestanden stelen. Updaten kan via de browser zelf of Mozilla.com.

              security.nl

              zie ook : Updates FireFox/ Thunderbird
              Ik heb de update inderdaad gezien, meteen geupdate

              Comment


              • #8
                Nu al ernstig lek in net gepatchte Firefox

                Firefox gebruikers die gisteren versie 2.0.0.12 installeerden, kunnen binnenkort naar versie 2.0.0.13 upgraden. Amper een paar uur na het verschijnen van de nieuwste versie is er weer een ernstig lek gevonden, wat aanvallers vertrouwelijke informatie laat stelen. In tegenstelling tot het vorige informatielek, is de open source browser nu standaard kwetsbaar, en hoeven er geen uitbreidingen of andere extensies geïnstalleerd te zijn.

                Door de kwetsbaarheid kan een aanvaller alle lokale bestanden in de Mozilla directory openen en alle instellingen van de browser uitlezen. "Grappig en triest want Firefox 2.0.0.12 is net uit, en nu alweer kwetsbaar. Deze is nog ernstiger dan de vorige trouwens, omdat je geen plugins nodig hebt," zegt de Nederlandse beveiligingsonderzoeker Ronald van den Heetkamp tegenover Security.NL.

                Van den Heetkamp beschuldigt Mozilla van het leveren van half werk. "Ik heb al eerder uitgehaald naar Mozilla, patch lekken niet voor de helft, neem de tijd en verhelp de oorzaak." De onderzoeker raadt Firefox gebruikers aan om een andere browser te gebruiken of de NoScript plugin te installeren.

                security.nl
                Last edited by metriod; 09-02-08, 14:21.

                Comment


                • #9
                  Nu al ernstig lek in net gepatchte Firefox

                  De Nederlandse beveiligingsonderzoeker Ronald van den Heetkamp onthulde dit weekend een nieuw beveiligingslek in de net gepatchte versie van Firefox, waardoor aanvallers persoonlijke informatie zouden kunnen achterhalen, maar Mozilla ontkent dit. "Chief Evangelist" Mike Shaver laat op zijn blog weten dat van den Heetkamp het bij het verkeerde eind heeft, en gebruikers geen risico lopen.

                  "Het is wel mogelijk om gevoelige gegevens te achterhalen mits aan bepaalde condities is voldaan. Zoals het XPIinstall.manifest bestand waar in geschreven wordt door de plugin: XULmaker. Deze schrijft het pad weg van de installatie map (echte pad). Mijn doel was om te laten zien dat websites de mogelijkheid hebben een 'browser' te 'browsen' en dat kan natuurlijk nooit de bedoeling zijn," zegt van den Heetkamp tegenover Security.NL.

                  Op zijn eigen weblog bijt hij harder van zich af en geeft hij Mozilla een veeg uit de pan. "Ze (Mozilla) beschuldigen me van het verspreiden van misinformatie. Mike Shaver wil niet dat ik vorderingen maak op het gebied van beveiliging, alleen omdat ik mijn mening over de perceptie van beveiligingslekken heb veranderd. Natuurlijk verander ik van mening over beveiligingszaken, omdat ik elke dag er meer over leer. Ik zou willen dat Mozilla het zelfde zou doen, maar ik denk dat dit tevergeefse hoop is."

                  Mozilla liegt
                  Volgens de Nederlandse beveiligingsonderzoeker horen browsers één richting op te gaan, en niet beide kanten op. "Toen Internet Explorer in het verleden de bestanden op je harde schijf kon lezen, werd het niet als een risico beschouwd. Vandaag de dag is dat het wel, omdat een browser volgens mij alleen maar gebruikt moet worden om andere servers te browsen."

                  Van den Heetkamp houdt vol dat hij verkeerd geïnterpreteerd is en dat het in theorie waarschijnlijk wel mogelijk is om persoonlijke gegevens uit te lezen. Daarnaast heeft hij nooit gezegd dat "directory traversal" mogelijk was, iets wat hem nu wel verweten wordt. "Waarschijnlijk voelen ze nu wat Microsoft de afgelopen jaren heeft doorgemaakt. Stop met het verkondigen dat je de veiligste browser bent, want het is gewoon een keiharde leugen."

                  security.nl

                  Comment

                  Sorry, you are not authorized to view this page
                  Working...
                  X