Mozilla wordt iets zenuwachtiger van chrome-lek
Gepubliceerd: Donderdag 31 januari 2008
Auteur: Michiel van Blommestein
Mozilla heeft het veiligheidslek van vorige week wat nader bekeken, en heeft de kwetsbaarheid alsnog als 'ernstig' bestempeld. Oorspronkelijk had de stichting de ernstigheid van het lek aangeduid als 'laag'.
De reden voor de ophoging is extra informatie na onderzoek door de stichting zelf. In een post op haar blog heeft Window Snyder, hoofd beveiliging bij Mozilla, verdere toelichting gegeven.
De fout zit hem in de manier waarop 'escape characters' worden behandeld door het chrome protocol scheme in de browser. 'Kale' versies van Firefox zijn niet kwetsbaar, het zijn plug-ins die de fout introduceren door de informatie niet in een .Jar te verpakken. Snyder roept ontwikkelaars van deze plug-ins dan ook op om .jar in hun software in te voeren.
De hacker die de kwetsbaarheid publiceerde, Gerry Eisenhower, wees toen op de eventuele mogelijkheid om willekeurige javascript te draaien met behulp van het lek. Hij merkte op dat het in potentie een groot gat kon zijn, maar dat het in eerste instantie niet meer biedt dan de mogelijkheid om informatie van het systeem te verkrijgen.
Mozilla gaat binnenkort een nieuwe versie van de browser (2.0.0.12) online brengen.
Bron: Techworld
