Hackers ontdekken kritiek lek in Firefox

Er schiet mij zoiets binnen als 'hek' en 'dam' en zo...Kan er niet opkomen ;-)

Mijn onderbuikgevoelens zeggen mij dat het goed is dat dit lek is gevonden. Bewijst eens en te meer dat software nooit foutloos is... dus ook OSS!!

Tjonge, tjonge, tjonge, wat is dat FireFox veilig..... zo nu kunnen de kleine foxjes stilletjes naar hun schuil plaats.

sorry kon het niet laten... ;-)

Goh, FF is dus niet kwestbaar voor de lekken in IE, maar heeft gewoon zo z'n eigen (kritische) lekken. Fijn, wist ik al. Patchen die hap, en op naar het volgende lek! :-)

Oh ja, voor de geïnteresseerden hier wat informatie over die zwarte hoedjes. (In 't Engels, dat dan weer wel.)

Gelukkig is het zo patchdinsdag...

Oh nee da's waar ook, daar hoeven we in dit geval niet op te wachten.

De voor de hand liggende vraag die bij mij opkomt is: onder WELK systeem levert deze security-hole werkelijk serieus gevaar op ?
Waarom, o, waarom schijnt het zo moeilijk te zijn om even te vermelden welk besturings-systeem het meeste risico loopt.
Net als bij berichtjes dat er "weer een nieuw virus" in omloop is.
Al heb ik zo'n donkerblauw idee dat ik het antwoord daarop al ken...
De vraag is - voor de zoveelste keer - waardoor het gevaar nu echt ontstaat: door een fout van java-script in FF of doordat het "bestrurings-systeem" niet echt...
Wie het echt weet mag het zeggen, bij voorbaat dank.

Veiligheids-Tip: Schakel altijd java-script af - dit kan in FF ongelooflijk gemakkelijk - en activeer het slecht indien het voor U echt nuttig is en anders niet !
Bijvoorbeeld wanneer U hier op WebWereld een berichtje wilt plaatsen, dan is java-script inderdaad voor U (en ons als lezers) heel nuttig :-)

Lekvrije OS-sen en lekvrije browsers bestaan niet. Maar ik heb nog steeds veel meer vertouwen in Firefox dan in Internet Explorer. Omdat Firefox niet geintegreerd is in het OS, zoals IExplorer bij Windows, is de schade nog enigzins in de perken te houden. - Overigens is IExplorer niet beschikbaar voor mijn OS, maar dat even terzijde.

Tss...ze halen een ex-security hotshot van Microsoft binnen en meteen is de boel zo lek als een mandje.

Er schiet mij zoiets te binnen als jaloers en kinderachtig. Was het zo koud daarbuiten al die jaren dat jullie tegen beter weten in een matig product van een monopolist bleven gebruiken?

Maar hebben jullie geen mening over een paar Crackers die hier mooi weer mee spelen?

@Diogenes_Isher


Het lek zit in alle versies van de browser, zowel voor Windows, Apple Mac OS X en Linux.
zie:
http://www.pcmweb.nl/artikel.jsp?id=1720388&WT.mc_id=nb

PeterV zegt:
Maar hebben jullie geen mening over een paar Crackers die hier mooi weer mee spelen?
Tuurlijk, ik doe weleens verzoekjes... ;-)

Zwart hoedje dragend of niet; het zijn aperte losers. (Of lutsters, of wat er dan ook in zwang is op het Internets tegenwoordig. :-)

Maar, dan spreek ik alleen maar uit wat eigenlijk niet uitgesproken hoeft te worden omdat het zo vanzelfsprekend is, nietwaar? ;-)

Hoeveel dollars zou Microsoft deze mensen betalen om Firefox onder het fileermes te leggen?

"Volgens Spiegelmock is de Javascript-implementatie 'een zootje'."
Volgens Bolleke is de hele Javascript-spec een zooitje...
Anyway, aangezien mijn FF niet als root draait kan er nooit heel veel fout gaan, in elk geval niet "de controle over de PC overnemen" (lekker generiek, ook). Sinds wanneer heeft Javascript trouwens een Virtual Machine? Zijn we niet in de war met Java (dus is het een lek bij Sun)? Nogal onduidelijk, mede gezien het gebrek aan bronvermelding...

Kut dus.. Vanaf nu even niet meer naar Pr0n en 'uw Banc heef u pinnumer noodig wand we zij ut kwijd' websites klikken... Gelukkig gebruikt de rest van de menscheid een volledig gepatchte IE...

Maar goed, dan zal het niet lang duren voor dat dezelfde -soort- fout in IE wordt gevonden. Want de Javascript implementatie in IE is geschreven volgens de zelfde specificatie... En als de Mozilla mensen er al een 'zooItje' van maken dan bakt Microsoft er in vergelijking alleen een mooi schilletje omheen...

Maar nu even platform onafhankelijk: heeft ooit een van de WW lezers een website gezien die in staat was om via uw browser uw computer over te nemen?? Ik wil zoiets wel eens meemaken in een Sandboxed omgeving...

Wie plaatst de eerste link naar een van die foute websites die je computer overneemt??

@Bolleke "Nogal onduidelijk, mede gezien het gebrek aan bronvermelding..." Wablief?? Notabene drie keer Cnet genoemd! Groet, Evan

vergeten ze mijn firewall niet? FF mag namelijk niet in server mode draaien, verbinden naar buiten toe wordt dan lastiger?

http://developer.mozilla.org/devnews/index.php/2006/10/02/update-possible-vulnerability-reported-at-toorcon/

We got a chance to talk to Mischa Spiegelmock, the Toorcon speaker that reported the potential javascript security issue referenced earlier. He gave us more code to work with and also made this statement and agreed to let me post it here:

The main purpose of our talk was to be humorous.



As part of our talk we mentioned that there was a previously known Firefox vulnerability that could result in a stack overflow ending up in remote code execution. However, the code we presented did not in fact do this, and I personally have not gotten it to result in code execution, nor do I know of anyone who has.



I have not succeeded in making this code do anything more than cause a crash and eat up system resources, and I certainly haven’t used it to take over anyone else’s computer and execute arbitrary code.



I do not have 30 undisclosed Firefox vulnerabilities, nor did I ever make this claim. I have no undisclosed Firefox vulnerabilities. The person who was speaking with me made this claim, and I honestly have no idea if he has them or not.

I apologize to everyone involved, and I hope I have made everything as clear as possible.

Sincerely,

Mischa Spiegelmock

Even though Mischa hasn’t been able to achieve code execution, we still take this issue seriously. We will continue to investigate.

-Window Snyder

@Bolleke: Inderdaad JavaScript maakt ook gebruikt van een Virtual Machine. De meeste programma's die voor computers geschreven worden, worden niet in de machine taal van de computer geschreven, maar in een of andere "hogere" taal. Er zijn twee manieren om zo'n programma uit te voeren, namelijk door vertalen/compileren of interpreteren. Een interpreter maakt eigenlijk altijd gebruik van een virtuele machine. Het programma wordt dan eerst ingelezen en opgeslagen in een interne structuur en vervolgens wordt deze interne structuur ge-executeerd door een virtuele machine. De gebruikte interne structuur kan erg lijken op die van de gebruikte taal (wat bij JavaScript waarschijnlijk het geval is, gezien het zeer dynamische karakter van de taal), maar kan ook een soort hoogniveau machine taal zijn. Dit laatste is het geval bij Java en ook C#. De hoogniveau machine code wordt ook wel byte code genoemd.

Nou kom op FF gebruikers, waar blijven we nu met onze reakties ? Normaal als het over Internet Explorer zou gaan dan zijn jullie er als de kippen bij *zucht*

Werd eens tijd dat FF gebruikers eens geconfronteerd worden op het feit dat zelfs FF niet perfect is.

@Bolleke "Nogal onduidelijk, mede gezien het gebrek aan bronvermelding..." Wablief?? Notabene drie keer Cnet genoemd! Groet, Evan

Ik bedoelde een link. Zo'n onderstreept stukje tekst waar je op kunt klikken en dat er dan ook wat gebeurt in je browsertje. Ik heb tijd noch zin om zelf CNet door te gaan ploegen.

...

Nou ja, goed, ik had er geen zin in, maar ik heb nu wel even tijd: hierrr

Weet de redactie dit ook te vinden?

We got a chance to talk to Mischa Spiegelmock, the Toorcon speaker that reported the potential javascript security issue referenced earlier. He gave us more code to work with and also made this statement and agreed to let me post it here:

The main purpose of our talk was to be humorous.

As part of our talk we mentioned that there was a previously known Firefox vulnerability that could result in a stack overflow ending up in remote code execution. However, the code we presented did not in fact do this, and I personally have not gotten it to result in code execution, nor do I know of anyone who has.

I have not succeeded in making this code do anything more than cause a crash and eat up system resources, and I certainly haven’t used it to take over anyone else’s computer and execute arbitrary code.

I do not have 30 undisclosed Firefox vulnerabilities, nor did I ever make this claim. I have no undisclosed Firefox vulnerabilities. The person who was speaking with me made this claim, and I honestly have no idea if he has them or not.

I apologize to everyone involved, and I hope I have made everything as clear as possible.

Sincerely,

Mischa Spiegelmock

Even though Mischa hasn’t been able to achieve code execution, we still take this issue seriously. We will continue to investigate.

-Window Snyder

Toch wel erg verdacht: de Toorcon-hackersconferentie werd gesponsort door Microsoft en de hackers willen hun bevindingen niet vrijgeven (aan Mozilla).. Is dit weer een 'oud en vertrouwd' staaltje van MS-FUD, of wil MS de code zelf houden zodat ze Mozilla later nog een stok in de wielen kunnen drijven?

Ik geloof zonder meer dat er fouten zitten in FF. Dat is ook bijna niet te voorkomen met een groot software project. Ik heb echter toch mijn grote twijfels bij deze melding, helemaal omdat ze door MS is gesponsort.

Ik vind het helemaal verbazingwekkend dat ik tot op heden bijna niemand melding heb zien maken van de sponsoring door Microsoft, zowel niet door bloggers en nieuws sites. Check your facts! Dat geld ook voor de redactie van WebWereld. Ik hoop dat jullie deze hint ter harte zullen nemen.

Het blijkt allemaal niet zo kritisch te zijn als werd beweerd:
http://developer.mozilla.org/devnews/index.php/2006/10/02/update-possible-vulnerability-reported-at-toorcon/

"The main purpose of our talk was to be humorous."
:(
Ondertussen heeft Mozilla wel een hoop negatieve publiciteit gekregen en denken een hoop mensen dat de javascript engine een 'mess' is :(

Hoeveel dollars zou Microsoft deze mensen betalen om Firefox onder het fileermes te leggen?

Moet daarvoor betaald worden dan? Ontelbare hackers doen het "gratis" bij IE, dus waarom FF niet? Of is dat niet toegestaan??? Fileren die hap, daar wordt de code alleen maar beter van.

@ DarkForce: Werd eens tijd dat FF gebruikers eens geconfronteerd worden op het feit dat zelfs FF niet perfect is.
Afgezien dat dit een hoax was/is; een FF gebruiker weet al dat deze browser niet perfect is omdat er regelmatig updates van verschijnen. Als iets perfect is, hoeft het niet ge-update te worden, nietwaar?

Ach, of dit ene lekje nou wel of niet waar is, wie weet komen we daar nooit achter.

Maar het legt ook geen gewicht in de schaal tegenover de 47 lekken die alleen al in de eerste helft van dit jaar in Mozilla (dus ook FireFox) zijn gevonden: link

Mr. Right zegt:
Maar het legt ook geen gewicht in de schaal tegenover de 47 lekken die alleen al in de eerste helft van dit jaar in Mozilla (dus ook FireFox) zijn gevonden

Daarom legt dit dus het gewicht in de schaal (uit het artikel van je link):
Hoewel er in de Mozilla-browsers meer lekken werden gevonden dan in IE, scoort Mozilla bij Symantec toch hoge punten op het gebied van patchbeleid.
En terecht.

Ik vind het niet erg en ook niet verrassend dat een stukje software lekken bezit of anderzins niet perfect is. Wat ik dan wel belangrijk vind is een goed patchbeleid; indien kritisch of noodzakelijk: zo snel mogelijk patchen die hap (en dus niet wachten op een bepaalde dag van de maand, o.i.d.).

@JanW

Dus als Symantec het patchbeleid van Mozilla bevalt, vind jij lekken niet erg??? Dat mag, maar ik ben het niet met je eens.

Doe mij maar liever minder lekken!