Gepubliceerd: Maandag 8 februari 2010
Auteur: Tonie van Ringelestijn
Firefox-maker Mozilla bood twee add-ons met malware aan op zijn beveiligde downloadsite. De add-ons gaven hackers controle over de besmette pc's.
Toon volledig artikel
Auw! :( Een behoorlijke blamage. Ik had een iets hogere standaard verwacht van Mozilla. Bij een centraal distributie punt hoort veiligheid de sleutel te zijn. Als je daar al niet meer vanuit kan gaan, gaat wat mij betreft alles op de helling.
Gelukkig is de impact met minder dan 5000 besmettingen nog klein, maar dit moet wel een wake up call zijn.
titel is fout, is namelijk verleden tijd, moet dus zijn Mozilla LIET ADD.ons met malware door.
Storend
Wie zegt ons dat het niet meer gebeurt/kan gebeuren?
Dit is wel een beetje pijnlijk ja.
Je mag hopen dat je virusscanner 'm oppakt.
De prijs van succes vrees ik...
Na nepFirefoxen en malware add ons is de aanval ingezet. Zorg dus voor een goede virusscanner en je bent al een heel eind.
Daarnaast is het vooral de gebruiker die moet weten wat hij doet en waar hij op klikt. Als de repository besmet is dan tast je wel het fundament onder die betrouwbaarheid grondig aan. Da tis natuurlijk wel erg slordig, maar het ligt voor de hand dat het vaker gaat gebeuren.
Elke repository is de natte droom van iedere kwaadwillende.
Elke repository is de natte droom van iedere kwaadwillende.
Doel je daar ook op de repository van linux/Ubuntu. :p
(even vergeten of alleen ubuntu een app repository gebruikt of dat dit standaard bij (bijna) alle linux distro's is)
Doel je daar ook op de repository van linux/Ubuntu. :p
Absoluut, elke repo is een potentieel risico en men zal alle sop alles moeten zetten om dit soort zaken te voorkomen.
Voor de wat rare figureren die hier weer een os war van willen maken, ja dat gaat ook op voor Windows Update bijv.
Voor de wat rare figureren die hier weer een os war van willen maken
Geen os war. Je begon over over repositories. Ik maak alleen duidelijk hoever dat dan gaat. De meeste mensen associëren een repository over het algemeen met Linux. Maar in het geval van updates geldt dat voor veel meer zaken. Ik had ook Java update, Adobe update of iets anders kunnen pakken, maar door de associatie met Linux, kwam Windows update als eerste bij me op.
Een repository met menselijke verificatie door de developer/eigenaar van wat erin gaat en cryptografische verificatie van wat eruit komt is heel erg veel veiliger dan zomaar een willekeurige download van weet ik veel waar op het internet.
Maar SED heeft natuurlijk wel gelijk dat je alle sop alles moet zetten om dat zo te houden. Het is één van de hoekstenen in de beveiliging van een repository based systeem.
Daarom noem ik dit ook een regelrechte blammage voor Mozilla. Dit systeem schurkt bijna tegen een repo aan. Ze kunnen alles controleren voor ze het doorlaten. Dat hebben ze hier klaarblijkelijk niet goed genoeg gedaan.
Ik vermoed dat de veiligheidsprotocollen voor de toelating van add-ons wel wat aangescherpt gaan worden.
Alleen gaat dit natuurlijk niet over een repository maar over een community website. Je code in een repository krijgen is iets meer werk. Al heb je verder gelijk...
Een ingang in een Ubuntu, OpenSUSE, Debian, Fedora, Mint, Mandriva, PcLinux of andere update repo zou verstrekkende gevolgen kunnen hebben. Niet zo erg als een achterdeur in Windows Update misschien, maar toch.
Elke repository is de natte droom van iedere kwaadwillende.
Ik hoop dat je het droog houdt. ;)
Wel jammer dat Webwereld weer op de sensationele tour gaat, het gaat namelijk om experimentele add-ons. Dat feit wordt echter niet vermeld en dat had Webwereld wel moeten doen (ook in de kop). Simpelweg omdat je voor de experimentele add-ons ingelogd moet zijn (en dus een accout op de add-ons site moet hebben), voor veel gebruikers is dat een stap die ze niet snel zetten.
Verder is het al weer verleden tijd en zijn, voor zover bekend, de add ons die op dit moment aangeboden worden niet besmet...
Goed punt. Beide stonden inderdaad in de experimentele fase. Dat verklaart misschien ook het beperkte aantal besmettingen.
Dat Sothink Web Video Downloader bestaat trouwens ook voor IE. Ik hoop niet dat we daar binnenkort ook nieuws kunnen verwachten, want daar heb je helaas niet zoiets als een waarschuwing dat het experimenteel is.
ja..zo zie je maar he...
experimenteel...maakt toch geen ruk uit !
ik heb al 2 maanden geleden firefox eruit geknikkerd.
zo traag als stront geworden..
Om te kunnen reageren, dient u ingelogd te zijn.
2 jaar geleden: 21 maart 2008
3 jaar geleden: 21 maart 2007
4 jaar geleden: 21 maart 2006
5 jaar geleden: 21 maart 2005
7 jaar geleden: 21 maart 2003
10 jaar geleden: 21 maart 2000
IDG Nederland is uitgever van: ChannelWorld, CIO, Computer!Totaal, GameZ, Gadget, Computerworld, ITworld, MacWorld, Techworld, Tips & Trucs, Webwereld, Zoom.nl en ADSL!Totaal.nl
Meer informatie: IDG Nederland, IDG.com, Privacy-statement, Cookie-statement Hosting by Terremark.
