Mozilla dicht lek voor combinatie Firefox en Quicktime
Gepubliceerd: Donderdag 20 september 2007
Auteur: Wilbert de Vries en Maarten Reijnders
Mozilla heeft een lek gedicht dat aanvallers in staat stelde om met behulp van Quicktime en Firefox op afstand code uit te voeren op de pc van een slachtoffer.
De deze week uitgebrachte Firefox 2.0.0.7 update bevat een patch voor het probleem dat vorige week in het nieuws kwam. De vorige week bekendgemaakte proof of concept kan makkelijk worden omgezet in een exploit, waarschuwt Window Snyder van Mozilla. "Gebruikers moeten dit dus zeer serieus nemen."
De nu gevonden oplossing allesbehalve zaligmakend. "Andere commando-opties blijven nog altijd bestaan", stelt Mozilla in zijn security advisory. "Quicktime Media-link bestanden kunnen nog altijd worden misbruikt om gebruikers te irriteren met pop-ups en dialoogvensters." Om daar een einde aan te maken is actie van Apple nodig. Volgens de ontdekker van het lek, Petko D. Petkov, is Apple al een jaar op de hoogte van de problemen, maar is de kwetsbaarheid nog altijd niet gefixt. Om de aandacht op de veiligheidsrisico's te vestigen, maakte Petkov een proof of concept om misbruik met behulp van Firefox aan te tonen.
Firefox is niet de enige browser die kwetsbaar is voor de problemen in Quicktime. De Israëlische beveiligingsexpert Aviv Raff heeft inmiddels aangetoond dat er vergelijkbare problemen spelen voor gebruikers van de Internet Explorer. Volgens Petkov is het lek in IE echter minder kritiek dan in Firefox.
Bron: Techworld
