Hackers ontdekken kritiek lek in Firefox
Gepubliceerd: Maandag 2 oktober 2006
Auteur: Evan Schaafsma
Twee hackers hebben zaterdag aangetoond hoe een kritiek lek in Firefox misbruikt kan worden. Het lek bevindt zich in de Javascript Virtual Machine.
Dat meldt Cnet. Tijdens een presentatie op de Toorcon-hackersconferentie demonstreerden Mischa Spiegelmock en Andrew Wbeelsoi hoe kwaadwillenden de controle over een pc kunnen overnemen door gebruik te maken van een bepaalde Javascript-code. Volgens de hackers hebben zowel gebruikers van Windows als Apple- en Linuxgebruikers last van het lek.
Het lek onstaat door de manier waarop Firefox Javascript implementeert, aldus Spiegelmock. Diverse codes kunnen volgens de hacker een stack overflow-fout veroorzaken. Volgens Spiegelmock is de Javascript-implementatie 'een zootje'. "Het is onbegonnen werk om het te patchen", zo verklaarde Spiegelmock tegenover Cnet.
Mozilla's veiligheidschef Window Snyder kondigde aan dat het bedrijf de kwetsbaarheid zal onderzoeken. Snyder is niet blij met het feit dat de hackers tijdens de presentatie ook een deel van de code van een exploit voor het lek toonden, aldus Cnet. Tegelijkertijd meent Snyder dat de presentatie genoeg aanknopingspunten biedt voor Mozilla om het lek te dichten.
De beveiligingschef vreest echter ook dat het lek moeilijker te dichten is dan andere kwetsbaarheden, omdat het zich bevindt in de Javascript Virtual Machine. De hackers beweerden tijdens hun presentatie zo'n dertig nog niet gedichte Firefox-lekken te kennen, maar ze willen informatie hierover niet aan Mozilla verstrekken.
"Het mes snijdt aan twee kanten, maar wat wij doen is eigenlijk in het belang van internet. We creëren communicatienetwerken voor black hats", zo verklaarde Wbeelsoi in een reactie op het verzoek van Mozilla-beveiligingsmedewerker Jesse Ruderman om de kwetsbaarheden te melden.
