Mozilla dicht week oude Black Hat-gaten
Gepubliceerd: Dinsdag 4 augustus 2009
Auteur: Loek Essers
Mozilla heeft drie gaten in Firefox gedicht. Twee daarvan zijn vorige week onthuld op de Black Hat-conferentie, de derde is door Mozilla zelf opgespoord.
De patch is uitgebracht voor Firefox 3.0 en 3.5. De update voor Firefox 3.0.13 repareert twee gaten terwijl met update 3.5.2 een ander gat wordt gerepareerd. De kwetsbaarheden in Firefox 3.0 zijn ontdekt door twee beveiligingsexperts die op security-conferentie Black Hat tekst en uitleg gaven over de exploits.
Onafhankelijk van elkaar toonden Dan Kaminsky van IOactive en een beveiligingsconsultant die zichzelf Moxie Marlinspike noemt hoe de gaten precies misbruikt konden worden. Firefox kon om de tuin geleid worden met valse SSL-certificaten. Dat is potentieel gevaarlijk omdat de certificaten gebruikt kunnen worden om in te breken bij bankensites, e-mailaanbieders en andere gevoelige diensten. Om het gat te exploiteren hoefde er alleen een 'null string' toegevoegd te worden aan verschillende certificaatvelden.
SOCKS5
Firefox 3.5 was al beveiligd voor dergelijke gaten omdat de ontwikkelaars een nieuwere en veiligere versie gebruiken van NSS (Network Security Services). Dat is een set van 'code bibliotheken' die gebruikt worden voor het inbakken van SSL in browsers.
Daarom is er slechts één patch uitgebracht voor Firefox 3.5.2. Die dicht een bug in de manier waarop de browser antwoord van een SOCKS5-proxy afhandelt. Dit is een gat dat een lage prioriteit meekreeg van Mozilla, bericht de IDG News Service.
De SOCKS5-bug werd eind juli al verholpen in Firefox 3.0.12. Het is onduidelijk waarom Mozilla dit gat destijds niet dichtte in Firefox 3.5.1. Het is mogelijk dat de kwetsbaarheid is ontstaan in de tijd tussen het uitbrengen van die updates.
