Beveiliger vindt 'extreem kritiek' uri-lek in Firefox
Gepubliceerd: Woensdag 25 juli 2007
Auteur: Judith Groot
Beveiliger Billy Rios van Verisign heeft op zijn weblog onthuld dat hij nog een lek heeft gevonden in Firefox. Het gaat wederom om een lek in de manier waarop Firefox omgaat met uri's.
In navolging van de uri-lekken die vorige week zijn ontdekt in Internet Explorer en Firefox, heeft Rios een nieuw lek ontdekt in Firefox 2.0.0.5 en Netscape Navigator 7. Op zijn blog waarschuwt Rios, beveiligingsconsultant bij Verisign, dat vele andere browsers ook kwetsbaar zijn. Hackersorganisatie Gnucitizen noemt het lek extreem kritiek.
"Ontwikkelaars die van plan zijn om uri's (uniform resource identifier) te registreren voor hun applicaties moeten begrijpen dat het registreren van een uri handler het aanvalsoppervlak voor die applicatie exponentieel vergroot", zo waarschuwt Rios op zijn site.
Firefox/Internet Explorer-ruzie
Eerder deze week werd al bekend dat Firefox, net als Internet Explorer, een opdrachtregel niet goed controleert voordat deze wordt doorgestuurd naar een protocol handler. Vorige week leek het er nog op dat deze fout alleen in Internet Explorer aanwezig was. Window Snyder van Mozilla sprak toen nog over een kritiek lek in IE.
Mozilla heeft erkend dat het lek ook in Firefox zit en heeft een fix geschreven om het probleem te verhelpen. Opvallend is overigens dat het lek nu op de bug-pagina van Mozilla, bugzilla, wordt aangeduid als 'normaal' en niet als kritiek.
