Hackers aan de haal met zeven jaar oud lek in Firefox
Gepubliceerd: Dinsdag 13 februari 2007
Auteur: Niels de Rijk
Een zeven jaar oud lek in Firefox houdt opnieuw de gemoederen bezig. Hackers kunnen via het lek toegang krijgen tot de bestanden van een pc.
Beveiligingsonderzoeker Michal Zalewski rakelde het lek onlangs op door op de Fulldisclosure- en Bugtraq-mailinglijst een exploit te publiceren.
Aanvallers kunnen middels een 'focus diversion'-truc de bestanden op een harde schijf stelen. Zo kan uit de zin 'I am bored. :-/ Can I read your dictionary?' de inputregel 'C:\boot.ini' worden gedestilleerd.
Het lek is niet nieuw, maar een variatie op een lek dat in 2000 werd gerapporteerd aan Mozilla. Het lek bleef tot op heden echter ongedicht.
Zalewski zegt zijn exploit te hebben getest in versie 2.0.0.1 van Firefox. Ook gebruikers van Firefox 2.0, Firefox 1.5 en Internet Explorer 7 zijn kwetsbaar.
Een beveiligingsonderzoeker op het Gnucitizen-blog adviseert gebruikers van beide browsers extra voorzichtig te zijn. "Gebruik geen toetsenbord op verdachte sites. Gebruik je muis en je bent voorlopig veilig."
Bron: Techworld
