Mozilla: bug in nieuwe Firefox is niet exploitable

firefox

Gepubliceerd: Maandag 20 juli 2009

De kersverse bug in de vorige week verschenen eerste patch voor Firefox is niet zo gevaarlijk, zegt Mozilla. De bug is volgens de browsermaker niet te exploiten.

Toon volledig artikel

Jasper Bakker [red. Ww] op Maandag 20 Juli 2009 10:24

image

Nog ff credit (where it's due): Ww-lezer U4iA meldde dit nieuwe gat al in de reacties op het eerdere artikel. (Alleen krijg ik nu ff geen link naar die specifieke comment voor elkaar. En ff druk nu.)
:)

  • 2 / 4

anonymous_119443 op Maandag 20 Juli 2009 10:29

image

Zal ik je even helpen? Link

  • 3 / 5

Jasper Bakker [red. Ww] op Maandag 20 Juli 2009 10:33

image

Ah, heel goed, dank!
(Ik zocht al naar zo'n linkje ergens op site, om dan Ctrl-C te doen en comment-id aan te passen.)
:)
Waardevolle reactie van je, ga daarmee door! (En niet met bepaalde andere, die mij extra - en ongewenst - werk bezorgen.)

  • 2 / 6

Anonymous Coward op Maandag 20 Juli 2009 10:32

image

Mozilla daagt met zo'n uitspraak natuurlijk de wel de security researchers uit om zo snel mogelijk een exploit vinden en te publiceren.

Riskant want ze willen vast niet nog een keer gedwongen worden hun patchronde te versnellen of zelfs een extra tussentijdse patch te moeten uitbrengen zo kort na de introductie van de nieuwe versie.

  • -7 / 19

anonymous_118315 op Maandag 20 Juli 2009 11:16

image

Het is natuurlijk zo dat al die zogenaamde security experts er belang bij hebben om fouten zo erg mogelijk voor te stellen. Het zou me dan ook niet verbazen als het in dit geval gewoon waar is, dat het enige wat de exploit doet een DOS is.

Ik heb de POC uitgeprobeerd en inderdaad, een vastgelopen browser was het ergste wat gebeurde.

Maar goed, als die security experts aan kunnen tonen dat het erger is dan dat, dan zullen we het snel genoeg horen.

  • 6 / 12

Anonymous Coward op Maandag 20 Juli 2009 10:58

image

Overigens is deze zero-day exploit eigenlijk nog boeiender:Clever attack exploits fully-patched Linux kernel

  • -8 / 14

anonymous_118315 op Maandag 20 Juli 2009 11:10

image

Een paar quotes:
With all the hoops to jump through, the exploit requires a fair amount of effort to be successful."He's running a setuid program that allows the user to specify its own modules. And then you people are surprised he gets local root?"Tegen de tijd dat dit daadwerkelijk te misbruiken is, is er ook een oplossing verzonnen gok ik. :) Ik ga mijn RSS reader in elk geval scherp in de gaten houden mbt dit nieuws.

Verder zal ik er niet op ingaan omdat het hier ver off-topic is.

  • 3 / 11

Anonymous Coward op Maandag 20 Juli 2009 11:24

image

Je moet dit maar eens goed lezen.
Tegen de tijd dat dit daadwerkelijk te misbruiken is
Hij heeft al gewoon een fully patched RHEL 5 (security enhanced) versie geexploiteerd en de zogenaamde effort was 4 uur werk om die exploit voor elkaar te krijgen
Dat is een redelijk populair server product waarop vanwege de extra security claims heel veel zeer gevoelige data wordt bewaard.

Voor gewone linux gebruikers zal het niet veel uitmaken omdat die waarschijnlijk niet vaak een security enhanced linux versie gebruiken. Ook moet je eerst laag geprivileerde toegang tot een server verkrijgen. Dit laatste kan vaak met bijvoorbeeld lekke websites maar zal voor particulieren meesten niet zo'n issue zijn.

  • -4 / 12

anonymous_118315 op Maandag 20 Juli 2009 11:39

image

Ach DP, de oplossing is er ook al. :) Dus verder kan ik me er niet zo druk over maken.

Oh en met dank aan Kernel:
The "NULL pointer dereference" bug has been confirmed in versions 2.6.30 and 2.6.30.1 of the Linux kernel, which Spengler said has been incorporated into only one vendor build:version 5 of Red Hat Enterprise Linux that's used in test environments.Deze fout is dus confirmed in één vendorbuild die alleen in test gebruikt wordt. Dat is een redelijk populair server product?

  • 7 / 13

handy op Maandag 20 Juli 2009 13:07

image

Na mijn weten is een exploit op RHEL 5 niet van toepassing. ALLEEN iedereen die de beta versie gebruikt van 5.4 heeft de geback-porte exploit code in zijn kernel zitten. En dat zullen maar bar weinig mensen zijn aangezien het marktsegment waar RHEL is zit.

  • 0 / 6

handy op Maandag 20 Juli 2009 13:48

image

omg ik kan niet meer editen en zie dat ik in verkeerde onderwerp heb loop te roeren :D Redactie, kan ik aub. gecensureerd worden? :)

  • -1 / 7

Fedde Sonnema op Maandag 20 Juli 2009 11:26

image

Je moet niet half quoten hè. Bij deze de volledige quote:
With all the hoops to jump through, the exploit requires a fair amount of effort to be successful. Still, Spengler said it took him less than four hours to write a fully weaponized exploit that works on 32- and 64-bit versions of Linux...

  • -1 / 7

anonymous_118315 op Maandag 20 Juli 2009 11:46

image

Ik heb het tweede deel weggelaten omdat het deze zogenaamde security expert lukte om de machine te exploiten door de boel precies zo te zetten dat het te exploiten was.

Maar goed meneer Spengler heeft zijn 15 minuten te pakken.

  • 5 / 11

Vincentlaborant op Maandag 20 Juli 2009 11:56

image

Vergeet de permanente roem van de slechte lezers/ mensen die niet zelf nadenken niet.

  • -2 / 8

vinylat45 op Maandag 20 Juli 2009 11:10

image

Deze attack is niet remote uitvoerbaar.

  • 3 / 9

Puist ☺ op Maandag 20 Juli 2009 11:11

image

*** reactie verwijderd ***

  • 1 / 13

Jasper Bakker [red. Ww] op Maandag 20 Juli 2009 11:24

image

Dit was de druppel voor mijn emmer! Jammer, heel jammer van deze reactie.

  • -1 / 11

karloe op Maandag 20 Juli 2009 11:38

image

Toch heeft (of had) Puist een punt.
Als dit al te veel "op de man" is gooi dan de hele reaguur maar dicht.

  • 2 / 10

Vincentlaborant op Maandag 20 Juli 2009 11:51

image

[taalpuristmodus] het moet in tegenwoordige tijd omdat het nog steeds geldt. [/taalpuristmodus]

De bufferoverflow heb ik al meegemaakt op een computer. Was wel grappig om te zien hoe het geheugen vol liep. Helaas was ik vergeten om de grafiek van het geheugengebruik op te slaan. Het duurde wel 1 uur om het geheugen helemaal vol te laten lopen.

  • -1 / 3

Jasper Bakker [red. Ww] op Maandag 20 Juli 2009 12:28

image

Het gaat om én op de man én met nare woorden én zonder argumenten (dus niet inhoudelijk) én voor de zoveelste keer in zeer korte tijd, enz.

  • 3 / 7

Puist ☺ op Maandag 20 Juli 2009 12:11

image

ben even kwijt wat ik heb gezegd maar het was zeker geen schelden.
Volgens mij wat het over het niet consequent zijn van Albert omdat hij zelf de Linux kernel erbij haalt terwijl in het Ballmer Office 10 topic hij zelf klaagt over iets vergelijkbaars door iemand anders.

Ik neem aan dat Webwereld graag eerlijke discussies wilt en niet dat het een farce wordt.

<offtopic>
de edit functie werkt niet goed als je vaker dezelfde tekst edit. Heel irritant.
</offtopic>

  • 2 / 10

ArjenB op Maandag 20 Juli 2009 12:32

image

Je gebruikte een synoniem voor de productie van traanvocht; waar de strekking van je reactie wat toevoegde aan de discussie, deed je woordkeuze daar afbreuk aan.

Niet meer gebruiken dus, dat synoniem. Het is (nodeloos) onvriendelijk.

  • -1 / 7

Mr. Right op Dinsdag 21 Juli 2009 06:42

image

Ik heb de reactie niet gelezen, (hij was al gecensureerd), en natuurlijk ben ik het er wel mee eens dat een reactie ontopic moet zijn en is discriminatie uiteraard ongepast (mocht dat het geval zijn geweest in enige vorm) maar we wonen toch niet in China, waar alles gecensureerd wordt?
En we zijn toch geen stelletje watjes met elkaar? Als het gaat om een synoniem van "het produceren van traanvocht", dan vind ik dat nou niet echt wereldschokkend...

  • 2 / 2

ArjenB op Dinsdag 21 Juli 2009 20:15

image

Ik heb hier lelijker woorden dan janken voorbij zien komen, maar als je dit soort woorden gebruikt geef je een reactie een lading die de discussie niet verder helpt.

Stel dat je dat doelbewust doet.

Om je reactie dezelfde lading te geven heb je dit soort woorden niet eens nodig, dus het is, behalve niet netjes, ook nog ondoelmatig om ze te gebruiken: het vergroot de kans dat je reactie verwijderd wordt.

Janken staat dus op mijn lijst van te vermijden woorden.

  • 0 / 0

karloe op Maandag 20 Juli 2009 11:19

image

The exploit works only when a security extension knows as SELinux, or Security-Enhanced Linux, is enabled. Conversely, it also works when audio software known as PulseAudio is installed.

Lekker duidelijk artikel van El Reg. :-O
Er zitten nog meer grote vraagtekens in, maar deze sprong er meteen uit bij het skimmen van het stuk.

  • 0 / 4

karloe op Maandag 20 Juli 2009 11:20

image

Oeps, dubbel, die reaguur ook :-(
(edit nummer 2 :-p )

  • -2 / 4

Jasper Bakker [red. Ww] op Maandag 20 Juli 2009 11:21

image

Yep, idd. Maar met dat onderwerp was Techworld-collega al bezig. Komt eraan dus!
:)

  • 0 / 6

Jasper Bakker [red. Ww] op Maandag 20 Juli 2009 11:32

image

Zie (en discussieer) hier over de Linux-exploit.

  • 2 / 6

Anonymous Coward op Maandag 20 Juli 2009 11:34

image

Ok, jullie hadden hem toch al gespot.

  • -4 / 10

anonymous_119443 op Maandag 20 Juli 2009 11:31

image

Uit je gelinkte artikel The "NULL pointer dereference" bug has been confirmed in versions 2.6.30 and 2.6.30.1 of the Linux kernel, which Spengler said has been incorporated into only one vendor build:version 5 of Red Hat Enterprise Linux that's used in test environments.

Dus zal je wel heel blij zijn dat zondag de 2.6.30.2 kernel al is uitgebracht

  • 0 / 6

Vincentlaborant op Maandag 20 Juli 2009 11:53

image

deze reactie hoorde op een andere plek te staan

sorry voor mijn fout

  • 0 / 2

anonymous_119443 op Maandag 20 Juli 2009 12:00

image

Kennelijk wist meneer Spengler alleen met de kernel versies 2.6.30 en 2.6.30.1 de juiste situatie te kunnen prepareren om zijn stukje exploit daadwerkelijk succesvol te laten zijn.

  • -1 / 5

Anonymous Coward op Maandag 20 Juli 2009 11:55

image

De belangrijkste versie waar deze exploit inzit is in 2.6.18, dat is zover ik begrijp de current default kernel versie van RHEL 5.

  • -5 / 11

anonymous_119443 op Maandag 20 Juli 2009 12:07

image

bron? ... voor zover ik weet ging het alleen maar om de 2.6.30 en 2.6.30.1 kernels

  • 2 / 8

anonymous_118315 op Maandag 20 Juli 2009 14:26

image

Bron:
The buggy commit was backported to a RHEL5 test kernel on April 15th (the latest test kernel is still vulnerable and likely without this exploit being released, the code would have made it into the next RedHat kernel update)

https://bugzill...g.cgi?id=495863Het zit dus in de kernel-2.6.18-153.el5 van RH 5.4.

Met als status ON_QA.
This bug has had an errata generated for it, and the fix is available in the files listed in that errata, for testing purposes.
Wat mij betreft mag iedere beheerder die dit in productie heeft uitgerold, zijn certificaat inleveren.

Albert had moeten beseffen dat als iets te mooi klinkt om waar te zijn, dat het dan waarschijnlijk ook niet waar is. Hij heeft de verleiding helaas niet kunnen weerstaan van de ronkende klank van productie-kernel. ;)

  • 3 / 7

Vincentlaborant op Maandag 20 Juli 2009 12:13

image

Mijn ubuntu notebook draait op de Linux kernel 2.6.28-13-generic. Deze is dan als het goed is minder kwetsbaar.

  • 0 / 6

Fedde Sonnema op Maandag 20 Juli 2009 11:23

image

Op deze pagina geeft Mozilla aardig wat kritiek op Internet Explorer en beloven ze dat Firefox een veiligere browser is. Ik krijg nu toch een beetje de indruk dat ze niet veel beter zijn, qua veiligheid dan. Wat mij betreft hebben ze twee keuzes: Of inbinden qua kritiek en die pagina verwijderen of zorgen dat Firefox echt veiliger is. Verder ben ik ook van mening dat ze 3.5 veel te snel hebben gereleased.

  • -3 / 11

Anonymous Coward op Maandag 20 Juli 2009 11:29

image

Ik denk dat het markt aandeel van FF nu zodanig gestegen is en de mogelijkheden om IE8 op bijvoorbeeld Vista te exploiteren zoveel zijn gedaald dat de effort die gestoken wordt in FF exploits enorm is toegenomen.

Ook zal steeds meer de gebruiker wordt getarget (gebeurt nu natuurlijk ook al veel) omdat dat steeds meer de zwakste schakel wordt.

  • -5 / 15

piekhaar op Maandag 20 Juli 2009 12:22

image

Inderdaad geen vreemde gedachte als je MS moet geloven. Maar aan de andere kant wordt ook beweerd dat de grootste altijd de meest aangevallen blijft.
En IE8 moet nog aan zijn bewijzen ronde beginnen, men kan te vroeg kraaien.
Ik hoop dat de browsers hun eventuele tekortkomingen, in welke smaak/vorm of merk dan ook, snel en adequaat aan mogen pakken om gebruikers relatief veilig te houden.

  • 1 / 5

anonymous_118315 op Maandag 20 Juli 2009 11:42

image

Ach, Microsoft beweert op haar beurt ook dat de 'facts' aantonen dat zij veiliger zijn met hun browser. Als marketeers beginnen te strooien met hun facts, dan pak ik het zoutvaatje er bij. ;)

  • 2 / 14

Vincentlaborant op Maandag 20 Juli 2009 11:54

image

Vergeet de peper ook niet. Alleen zout is zo saai.

  • 0 / 10

anonymous_118315 op Maandag 20 Juli 2009 12:46

image

Het nieuws was al gepeperd genoeg dunkt me. ;)

  • -1 / 9

Requiem op Maandag 20 Juli 2009 12:17

image

Ach zolang het door mensen gebouwd wordt zullen er fouten in blijven zitten.

  • 4 / 8

zwart-wit op Maandag 20 Juli 2009 19:27

image

Amen

  • 0 / 4

Om te kunnen reageren, dient u ingelogd te zijn.

Nieuwsbrief

Ontvang dagelijks een overzicht van het laatste ICT-Nieuws in uw mailbox

Peiling

Loading Poll

Video: World Tech Update: Darpa's robot oorl...

World Tech Update: Darpa's robot oorlogspaard (video)

Verleden nieuws