Noodpatch voor Firefox na publicatie aanvalscode

Gepubliceerd: Donderdag 26 maart 2009

Mozilla komt met een noodpatch nadat een hacker een proof-of-concept heeft gepubliceerd om een kritiek lek in Firefox te misbruiken.

Toon volledig artikel

Ages of Love op Donderdag 26 Maart 2009 10:26

"Het stelt derden in staat om kwaadaardige XML-code in de browser uit te voeren"

Voor wie het nog niet geinstalleerd heeft, FireFox NoScript add-on. Stopt alle codes voordat ze in je Firefox uitgevoerd kunnen worden. Voorkomen is beter dan genezen.

Firefox NoScript:
The best security you can get in a web browser!
Allow active content to run only from sites you trust, and protect yourself against XSS and Clickjacking attacks.

Download: https://addons.mozilla.org/nl/firefox/addon/722

7 / 9

bokkie20000 op Donderdag 26 Maart 2009 10:49

Goeie tip, thanxx

1 / 3

Noobster op Donderdag 26 Maart 2009 11:03

Bedankt ;-)

1 / 3

Little Penguin op Donderdag 26 Maart 2009 11:37

De vraag is echter wel of NoScript helpt tegen dit lek. Het gaat namelijk om een lek in de XML/XSL afhandeling en NoScript gaat vooral in tegen JavaScript code.

Dus tenzij er ook JavaScript nodig is voor het misbruik van dit lek helpt NoScript niet (per definitie).

4 / 4

Fedde Sonnema op Donderdag 26 Maart 2009 11:46

Aan de exploit te zien is JavaScript nodig om daadwerkelijk iets kwaadaardigs met de crash te doen. NoScript is dus zeker aan te raden (neem dan gelijk AdBlock ook maar mee). In ieder geval zal zelfs met NoScript Firefox sowieso crashen.

3 / 3

ferrari25 op Donderdag 26 Maart 2009 11:19

het bewijst ook nog iets.
Firefox is wel degelijk sneller met Patchen dan Microsoft. want IE8 is nog niet gepatcht voor de manier waarop die gehackt was.

-2 / 10

Fedde Sonnema op Donderdag 26 Maart 2009 11:34

Dit is een zero-day lek en dus niet hetzelfde lek welke werd aangetoond tijdens PWN2OWN. Met een zero-day lek moet je wel snel reageren omdat anders iedere script-kiddie je browser kan hacken. Bij het laatste zero-day lek in Internet Explorer had Microsoft ook na een week een patch beschikbaar.

4 / 6

RM5614 op Donderdag 26 Maart 2009 14:13

Waarom toch altijd vergelijken met MS? Daar gaat het topic toch niet over? Beetje zielig weer.

1 / 7

NLsandman op Donderdag 26 Maart 2009 23:23

Het artikel en de reacties gemist dat MS met een patch bezig is mbt pwn2own ontdekking?
Daarin vermelde ik al dat mozilla helemaal geen reactie heeft gegeven over het ondekte lek?

0 / 0

karloe op Vrijdag 27 Maart 2009 23:50

Hmm, begin volgende week is vanavond geworden, toch netjes van Mozilla ;-)

3.0.8 is a chemspill, accelerated, release. It will have a minimal change set from 3.0.7. All fixes that were intended for 3.0.8, before the vulnerabilities were known, will land in a to-be-released 3.0.9.