Eerste lek in Firefox 3.5 ontdekt

Mozzila had gewoon een keer een SAM (Service as Microsoft) dag. Dat betekent snel releasen in verband met concurrentie, weten dat er een paar bugs in zitten, maar dit op de koop toe nemen.

Pfew! Dat is voor mij een zorg minder. :)

Bekijk je alle door jou niet veelbezochte sites helemaal zonder script ? Werkt er dan nog wel wat ?

Volgende keer misschien toch iets minder focus op deadlines?
Wat mij betreft: Heel graag en zeker niet misschien. :-)

3.5 vind ik zelf, nu met dit lek en in combinatie met andere persoonlijke ergernissen, één van de slechtste updates ooit.

Een computer overnemen is natuurlijk een prutsterm van jewelste. Wat je kunt doen is willekeurige code uitvoeren. Onder elk modern OS betekent dat dat dit gebeurt met de permissies van de gebruiker die op dat moment het Firefox-proces draait. Ben je in staat om vanuit dat proces een lokale privilege-escalation te doen, dan kun je de computer overnemen. Lukt dat niet, dan kun je onder de account van de betreffende gebruiker code uitvoeren die vanalles en nog wat kan doen.

Het probleem onder Windows is dat veel gebruikers standaard als admin draaien, en je dus geen privilege escalation meer nodig hebt om de PC over te nemen. Hierdoor is het probleem onder Windows in theorie ernstiger dan op platforms waarbij de gebruiker met beperkte rechten werkt.

Misschien beantwoord dit antwoord van de Mozilla blog site je vraag:
The underlying bug happens on all platforms. The proof-of-concept exploit posted to milw0rm contained a windows-only payload, but it wouldn’t be too hard for someone to graft on Mac and Linux payloads from the Metasploit project and make it cross-platform.

We weten allemaal dat het niveau van Webwereld af en toe te wensen over laat. Misschien moeten de mensen van de redactie nog een kop extra sterke koffie drinken.

Dus als ze geschreven hadden: Eerder deze week werd de grootste concurrent van Firefox, Microsoft Internet Explorer, opnieuw getroffen door een lek.
Dan was het wel juist geweest. Maar dan klinkt het wel erger.
Ik begrijp dus niet waarom je klaagt.

Voor mij is IE een vergiet. Een gaatje meer of minder maakt niet uit.

Je had ook gewoon het bovenstaand artikel echt kunnen lezen natuurlijk.

Oplossing: JIT-component uitzetten
"De ontwikkelaars van Mozilla werken aan een oplossing. Zodra er een fix is, zal er zo snel mogelijk een Firefox-update worden uitgebracht", meldt Mozilla. Tot die tijd kunnen gebruikers van Firefox 3.5 de exploit omzeilen door de "just-in-time" (JIT) component van TraceMonkey uit te zetten. Dit is te doen door "about:config" te typen in de adresbalk van de browser, dan op "javascript.options.jit.content" te dubbelklikken en de waarde van de sleutel op "false" te zetten. Ook de populaire NoScript add-on voor Firefox voorkomt dat de exploit op de computer kan worden gedraaid.Staat dus ook in het artikel op Webwereld zelf. :)

Een workaround waarmee overigens effectief de snelheidswinst m.b.t. JavaScript afhandeling weer op het oude niveau van 3.0.xx gezet wordt. :-)

Een saillant detail dat niet in het artikel van WebWereld gevonden kan worden. ;-)

Terwijl dosprompt en peter koopman hetzelfde zeggen zit er een significant verschil in de beoordeling. Wie kan me dat uitleggen?

http://www.mozilla.org/security/announce/2009/mfsa2009-41.html

Lekker vlug.

En nu maar wachten hoe vlug Webwereld is met het verspreiden van dit heugelijke nieuws ;)