Firefox lekt lokale bestanden

Digital & Games • Geschreven door Simon Rivada (colourAgga) op 08-02-2007 @ 21:08
print 
Icoon DigitalBeveiligingsonderzoekers hebben twee lekken in onderdelen van verschillende Firefox versies gevonden. Door een van de twee lekken kan de aanvaller in het ergste geval lokale bestanden stelen. Het tweede lek zorgt ervoor dat een site zich door het phishingfilter, het filter dat ervoor zorgt dat je niet per ongeluk op een site inlogt die heel veel lijkt op jouw banksite of een andere belangrijke site, heen kan wurmen.

Het eerste probleem zit hem in de pop-up blocker. Normaal is het zo dat websites geen toegang tot lokale bestanden hebben, maar als de gebruiker een geblokkeerde pop-up toch toestemming geeft, dan wordt de URl-toegangscontrole omzeild, en is het mogelijk voor de website om lokale bestanden te lezen.

Om de aanval te laten werken moet een aanvaller de gebruiker zover weten te krijgen dat hij op een kwaadaardige link klikt, die een bestand met exploit code op het systeem installeert. Daarna verschijnt de melding of de gebruiker een pop-up wil toestaan om bijvoorbeeld een video af te spelen. Het al eerder geplaatste bestand wordt dan aangeroepen, waarna de aanvaller lokale leesrechten krijgt. Volgens de onderzoekers is dit probleem alleen aanwezig in Firefox 1.5.x.

Het tweede lek is meer een bug en bevindt zich in het phishing filter van Firefox 2.0.0.1. Om het filter te omzeilen kan een phishing site een aantal karakters aan de URL toevoegen. De URL werkt nog steeds, alleen wordt er geen waarschuwing meer door Firefox gegeven. Dit lek werd op 19 januari aan Mozilla bekend gemaakt.

Bron: Security.nl


Lees ook:

» 24/05 'Topoverleg Apple en Samsung levert niets op'8
» 23/05 Tele2 in beroep tegen uitspraak Pirate Bay20
» 23/05 BREIN klaagt Pirate Bay-uploader aan94
» 21/05 Storing treft DigiD12


delen | eKudos nujij

15012 views / 57 reacties
Reacties op dit bericht
50  van 57 reacties op deze pagina. Pagina  1 2
man Glijdt_licht 08-02-2007 @ 21:12 fotoboek no homepage
userIcon
Niets ernstigs dus, waarom zou je nog FF 1.5 gebruiken
man Landgraaf 08-02-2007 @ 21:12 fotoboek homepage
userIcon
wie zei ook al weer dat firefox 100% beveiligd was
man timmie_loots 08-02-2007 @ 21:13 fotoboek homepage
quote:
Op donderdag 8 februari 2007 @ 21:12 schreef Landgraaf het volgende:
wie zei ook al weer dat firefox 100% beveiligd was
Niemand.
man Garin84 08-02-2007 @ 21:15 fotoboek no homepage
quote:
Op donderdag 8 februari 2007 @ 21:12 schreef Landgraaf het volgende:
wie zei ook al weer dat firefox 100% beveiligd was
Niemand, want niets is 100% beveiligd...

Blijft wel beter dan IE
man Madmaarten 08-02-2007 @ 21:15 fotoboek no homepage
quote:
Op donderdag 8 februari 2007 @ 21:12 schreef Landgraaf het volgende:
wie zei ook al weer dat firefox 100% beveiligd was
ik niet
tis alleen veel veiliger dan ie :p
man j_du_pee 08-02-2007 @ 21:18 fotoboek no homepage
userIcon
ik ga me er nog niet echt onveiliger door voelen, maar bedankt voor de waarschuwing dan maar
man sogghartha 08-02-2007 @ 21:19 fotoboek no homepage
En er zal gegarandeerd veel sneller een patch voor vrijkomen dan bij bijvoorbeeld IE.
man existenz 08-02-2007 @ 21:21 fotoboek homepage
quote:
Op donderdag 8 februari 2007 @ 21:15 schreef Garin84 het volgende:

[..]

Niemand, want niets is 100% beveiligd...

Blijft wel beter dan IE
Beetje jammer dat je met deze lekken bij AL jouw bestanden kan...
man Neo-Mullen 08-02-2007 @ 21:23 fotoboek no homepage
userIcon
ach, IE is nog steeds populairder bij de doorsnee internetter en daarom meer in het vizier voor evil things zoals virussen, aanvallen van hackers enz

FFFL (FireFox For Life )
man menesis 08-02-2007 @ 21:24 fotoboek no homepage
userIcon
misschien moet ik toch eens van 1.0.7 upgraden
Maar als ik eht goed begrijp moet je eerst iets downloaden én uitvoeren voordat de lek echt een lek wordt? Zo snel zal dat toch niet gebeuren?
man R16 08-02-2007 @ 21:27 fotoboek no homepage
Beetje vreemd dat ze een lek in 1.5 oprakelen als dat inmiddels is opgelost. Ik bedoel, in IE4 zullen ook talloze lekken nog zitten, maar wie gebruikt dat nog?

Natuurlijk worden er ook lekken gevonden in Firefox. Maar de lekken zijn i.h.a. van een heel ander kaliber dan lekken in IE. 'Vroeger' hoefde je maar een goede ActiveX control op je site te zetten en kon je zo iemands hele pc overnemen. Zo erg is het bij Firefox nooit geweest en zal het ook nooit worden.
man Catch22- 08-02-2007 @ 21:30 fotoboek homepage
userIcon
mensen die op phishing filters vertrouwen moeten sowieso achter de pc wegblijven
man colourAgga 08-02-2007 @ 21:32 fotoboek homepage
userIcon
quote:
Op donderdag 8 februari 2007 @ 21:24 schreef menesis het volgende:
misschien moet ik toch eens van 1.0.7 upgraden
Maar als ik eht goed begrijp moet je eerst iets downloaden én uitvoeren voordat de lek echt een lek wordt? Zo snel zal dat toch niet gebeuren?
Ik raad je aan om te upgraden en daarbij hoef je alleen toestemming te geven voor een popup en zoveel sites gebruiken pop-ups voor het reageren op berichten, het laten zien van video etc. etc.
man ChaoticPunk 08-02-2007 @ 21:35 fotoboek no homepage
quote:
Op donderdag 8 februari 2007 @ 21:21 schreef existenz het volgende:

[..]

Beetje jammer dat je met deze lekken bij AL jouw bestanden kan...
Nieuws toevoeging? Ik kan dat AL nergens terug vinden in de tekst?
man Bor_de_Wollef 08-02-2007 @ 21:44 fotoboek no homepage
quote:
Op donderdag 8 februari 2007 @ 21:12 schreef Landgraaf het volgende:
wie zei ook al weer dat firefox 100% beveiligd was
Dat "veiliger dan ie" is niets anders dan fanboy gemurmel. FF is ook zo veilig nog niet hoor.
vrouw Spacehamster 08-02-2007 @ 21:46 fotoboek homepage
userIcon
Het lijkt me sterk dat dit voor alle OS'en geldt, dat is softwaretechnies niet mogeljk
man Toryu 08-02-2007 @ 21:47 fotoboek no homepage
quote:
Op donderdag 8 februari 2007 @ 21:44 schreef Bor_de_Wollef het volgende:

[..]

Dat "veiliger dan ie" is niets anders dan fanboy gemurmel. FF is ook zo veilig nog niet hoor.
bron?
man PiRANiA 08-02-2007 @ 21:50 fotoboek homepage
userIcon
is linux ook in gevaar?
man frut666 08-02-2007 @ 21:51 fotoboek no homepage
userIcon
Niks aan de hand met Gran Paradiso dus (Voor degenen die het niet weten: FireFox 3.0 Alpha-1)

Edit: En natuurlijjk op Linux dus helemaal veilig.
man MischaDeGrote 08-02-2007 @ 21:55 fotoboek no homepage
quote:
Op donderdag 8 februari 2007 @ 21:44 schreef Bor_de_Wollef het volgende:

[..]

Dat "veiliger dan ie" is niets anders dan fanboy gemurmel. FF is ook zo veilig nog niet hoor.
ag joh. zoals al gezegd wordt: bron.
jou gezeik is onwetenheid.
man Moonlith 08-02-2007 @ 21:56 fotoboek no homepage
userIcon
Welke randdebiel staat ook popups van iets dat ie niet doelbewust zoekt?
man A.West 08-02-2007 @ 21:57 fotoboek no homepage
quote:
Op donderdag 8 februari 2007 @ 21:12 schreef Landgraaf het volgende:
wie zei ook al weer dat firefox 100% beveiligd was
fanboys.
IE=veiliger, maar word meer gehackt e.d omdat meer mensen het gebruiken, dus groter "schadegebied" voor de hackers en dus aantrekkelijker om te hacken.
man MSNMGH 08-02-2007 @ 21:58 fotoboek no homepage
userIcon
Firefox

alleen noobs surfen nog met explorer
man A.West 08-02-2007 @ 22:00 fotoboek no homepage
quote:
Op donderdag 8 februari 2007 @ 21:47 schreef Toryu het volgende:

[..]

bron?
ben je dom, of lijkt dat maar zo? , lees o.a. het nieuwsbericht eens
man Impry 08-02-2007 @ 22:01 fotoboek homepage
userIcon
Wie gaat ook dusdanig veel toestemming geven voor een site die van alles automatisch downloadt enzo
man Brabiliaan 08-02-2007 @ 22:04 fotoboek no homepage
userIcon
quote:
Op donderdag 8 februari 2007 @ 21:58 schreef MSNMGH het volgende:
Firefox

alleen noobs surfen nog met explorer
Nooit geweten dat er zoveel 'noobs' waren

Maar altijd leuk als je anderen noob kunt noemen he? Dan voel je jezelf vast beter

Ik gebruik ze allebei. Op mijn laptop staat firefox, op mijn desktop nog IE. De nieuwe IE werkt net zo fijn als Firefox vind ik.
man wijsneus 08-02-2007 @ 22:05 fotoboek no homepage
userIcon
Voordat we paniek gaan zaaien:

Het lek in FF1.5 is zeer lastig te exploiten: De hacker moet namelijk voorspellen waar jij je temp dir hebt, en hoe het bestand dat tijdelijk aangemaakt gaat worden heet. Voor de rest: alleen windows 9.x machines zijn kwetsbaar als je de proof of concept mag geloven tenminste...
man PallominnoXIII 08-02-2007 @ 22:05 fotoboek no homepage
Gigantische nerdbattle hier

IE USERS ZIJN NOOBS!
FF USERS ZIJN NERDS!

Kansloos.
man PDOA 08-02-2007 @ 22:06 fotoboek no homepage
userIcon
Godver, ik stap gelijk over naar IE 7!!!
vrouw DeTinux 08-02-2007 @ 22:07 fotoboek no homepage
quote:
Op donderdag 8 februari 2007 @ 21:57 schreef A.West het volgende:

[..]

fanboys.
IE=veiliger, maar word meer gehackt e.d omdat meer mensen het gebruiken, dus groter "schadegebied" voor de hackers en dus aantrekkelijker om te hacken.
Bron? En ik vind je redenering erg interessant. Is het een repetitio principii? IE is veiliger, maar omdat meer mensen het gebruiken dan Firefox, staat het vaker bloot aan hackers. Ondanks dat het vaker bloot staat aan hackers, is het toch veiliger, want omdat meer mensen IE gebruiken dan Firefox, staat het ook vaker bloot aan hackers. Is dat wat je wilt zeggen?

OT: klinkt niet erg schokkend; een exploit die alleen werkt in een oude versie op Windows 9.x systemen, nadat je zelf acties hebt ondernomen.
man wijsneus 08-02-2007 @ 22:15 fotoboek no homepage
userIcon
quote:
Op donderdag 8 februari 2007 @ 22:07 schreef DeTinux het volgende:

[..]

Bron? En ik vind je redenering erg interessant. Is het een repetitio principii? IE is veiliger, maar omdat meer mensen het gebruiken dan Firefox, staat het vaker bloot aan hackers. Ondanks dat het vaker bloot staat aan hackers, is het toch veiliger, want omdat meer mensen IE gebruiken dan Firefox, staat het ook vaker bloot aan hackers. Is dat wat je wilt zeggen?

OT: klinkt niet erg schokkend; een exploit die alleen werkt in een oude versie op Windows 9.x systemen, nadat je zelf acties hebt ondernomen.
FF zal iets veiliger (open source - many eyes make all bugs shallow) zijn, maar alle code bevat lekken.

Maar ik ben een web-devvert die zich aan de webstandaarden houdt, en dan ga je IE haten.
Echt hardgrondig haten...
man Impry 08-02-2007 @ 22:26 fotoboek homepage
userIcon
quote:
Op donderdag 8 februari 2007 @ 22:04 schreef Brabiliaan het volgende:

[..]

Nooit geweten dat er zoveel 'noobs' waren
Puur omdat IE op de meeste PC's standaard geïnstalleerd is...
man BBW 08-02-2007 @ 22:30 fotoboek no homepage
je moet op een link klikken, daarna op een pop-up, en ook nog eens een oude versie gebruiken
man DarkShine 08-02-2007 @ 22:41 fotoboek homepage
quote:
Op donderdag 8 februari 2007 @ 21:21 schreef existenz het volgende:

[..]

Beetje jammer dat je met deze lekken bij AL jouw bestanden kan...
Beter bij al je bestanden dan met een IE lek je pc overnemen.
man dikkedorus 08-02-2007 @ 23:01 fotoboek homepage
userIcon
quote:
Op donderdag 8 februari 2007 @ 22:07 schreef DeTinux het volgende:
[..]
Bron? En ik vind je redenering erg interessant. Is het een repetitio principii? IE is veiliger, maar omdat meer mensen het gebruiken dan Firefox, staat het vaker bloot aan hackers. Ondanks dat het vaker bloot staat aan hackers, is het toch veiliger, want omdat meer mensen IE gebruiken dan Firefox, staat het ook vaker bloot aan hackers. Is dat wat je wilt zeggen?
Ik denk dat hij wil zeggen dat IE veel meer mensen tegen zich heeft dan FF. Ten eerste omdat exploiters veel meer hebben aan een exploit van IE dan FF, omdat er meer gebruikers zijn, en omdat de gemiddelde IE gebruiker minder "handig" is dan de FF users.
Verder lijkt het mij logisch dat "exploiters" zich minder snel tegen open-source projecten richten, want MS is natuurlijk het grote kwaad en FF is de koene ridder.

Bron? Dat laatste is even een "fingerspitzengefühl" (om ook maar even een anderstalige term fout te gebruiken). Dat eerste zal je in veel discussiefora terugvinden. Ik gok dat er ook studies naar gedaan zijn. Google is your friend.

Verder heb ik niks tegen FF hoor. Ik gebruik beide.
man Devrim_ 08-02-2007 @ 23:05 fotoboek no homepage
Komt er op de FP nu ook voor elke IE bug een nieuwsbericht?
Kan nog druk worden dan
man Devrim_ 08-02-2007 @ 23:07 fotoboek no homepage
quote:
Op donderdag 8 februari 2007 @ 21:27 schreef R16 het volgende:
Beetje vreemd dat ze een lek in 1.5 oprakelen als dat inmiddels is opgelost. Ik bedoel, in IE4 zullen ook talloze lekken nog zitten, maar wie gebruikt dat nog?

Natuurlijk worden er ook lekken gevonden in Firefox. Maar de lekken zijn i.h.a. van een heel ander kaliber dan lekken in IE. 'Vroeger' hoefde je maar een goede ActiveX control op je site te zetten en kon je zo iemands hele pc overnemen. Zo erg is het bij Firefox nooit geweest en zal het ook nooit worden.
Veel mensen gebruiken 1.5 nog (na versie 2 werd de 1.5 tak verder ontwikeld)
man star_gazer 08-02-2007 @ 23:10 fotoboek no homepage
userIcon
FF is een beetje zijn geloofwaardigheid aan het verliezen imho: het gebruikt meer geheugen dan IE en is ook zo lek als een mandje
man Devrim_ 08-02-2007 @ 23:16 fotoboek no homepage
quote:
Op donderdag 8 februari 2007 @ 23:10 schreef star_gazer het volgende:
FF is een beetje zijn geloofwaardigheid aan het verliezen imho: het gebruikt meer geheugen dan IE
IE lijkt minder geheugen te gebruiken maar het geheugen gebruik van IE zit "verstopt" in andere windows systeem processen
quote:
en is ook zo lek als een mandje
Software kan nooit foutloos zijn...
man knight3 08-02-2007 @ 23:35 fotoboek no homepage
en waarom zou je 1.5 gebruiken als er al een 2.0.0.1 is???
man Biogarde (Forum Moderator) 08-02-2007 @ 23:41 fotoboek homepage
userIcon
FF
man erik-69 08-02-2007 @ 23:54 fotoboek no homepage
userIcon
quote:
Op donderdag 8 februari 2007 @ 21:12 schreef Landgraaf het volgende:
wie zei ook al weer dat firefox 100% beveiligd was
Niemand, 100% veilig bestaat niet.
Maar als iemand jou de tip geeft om IE in te ruilen voor Firefox, dan is hij niet jouw vijand, maar iemand die jou een goed advies wilde geven.
Helaas kennen veel mensen alleen nog maar het vijanddenken... wanneer een ander een andere mening heeft.
man Rafe_ 09-02-2007 @ 00:13 fotoboek homepage
userIcon
quote:
Op donderdag 8 februari 2007 @ 21:46 schreef Spacehamster het volgende:
Het lijkt me sterk dat dit voor alle OS'en geldt, dat is softwaretechnies niet mogeljk
Hoezo niet? Ik denk dat het waarschijnlijker is dat de file:// protocol handler gewoon op alle platformen werkt mits je gewoon het juiste pad naar een bestandsnaam opgeeft (het daadwerkelijk opvragen gebeurd toch door het onderliggend file system van het OS). File:// is ook gewoon vastgelegd in RFC 1738.
man dimage 09-02-2007 @ 06:14 fotoboek homepage
userIcon
quote:
Op donderdag 8 februari 2007 @ 21:15 schreef Madmaarten het volgende:

[..]

ik niet
tis alleen veel veiliger dan ie :p
bewijs ?
man DrDarwin 09-02-2007 @ 07:50 fotoboek no homepage
userIcon
Kom je weer eens op bezoek bij kennissen, ..."kijk jij even naar de pc want die doet toch gek !!".
Probleempjes oplossen, onderhoud plegen, je kent dat wel.
Heeft er weer iemand een jaar of meer geleden Firefox op dat ding gezet.
Op de vraag welke browser ze gebruiken weten ze het antwoord niet.

En zo krijg je dus dat mensen met verouderde firefoxen surfen....en denken dat ze dat veilig doen want handige Harry heeft dat de vorige keer nog gezegd..."de vorige keer????
Ja..vorig jaar april geloof ik, of was het ....hmmmmmmm".
man Brupje 09-02-2007 @ 08:18 fotoboek homepage
quote:
Het tweede lek is meer een bug
Het eerste is ook een bug, alleen ernstiger
man Sehnsucht 09-02-2007 @ 08:22 fotoboek no homepage
userIcon
Wat een gelul hier zeg. Beide programma's hebben natuurlijk hun voor- en nadelen. beide hebben hun problemen. ik heb ze allebei, Maar ik gebruik firefox vaker. het werkt voor mij gewoon makkelijker. op mijn werk gebruik ik IE, en daar heb ik ook geen problemen mee. Firefox is niet veiliger als IE, en andersom. ze hebben beide waarschijnlijk nog wel honderden onontdekte lekken.

Gebruik gewoon het programma waar jij het makkelijkste mee kan werken, en val een ander hier niet mee lastig. Dat lompe fanboy gedrag slaat nergens op, kleuters.
man xdude 09-02-2007 @ 09:06 fotoboek homepage
userIcon
Hoewel Opera ook een Mozilla gebaseerde browser is hoor ik verdacht weinig slechts over de Opera browsers. Ik gebruik nu al een hele tijd Opera en om eerlijk te zeggen vind ik hem fijner dan FireFox, nét wat overzichtelijker en nét even wat sneller. Nét even wat soepeler en nét even wat minder bugs en lekken die aan het licht komen.
Nu ben ik me uiteraard wel bewust van het feit dat mocht er meer gebruik van Opera gemaakt worden dat er dan ook meer bugs aan het licht zullen komen maar tot nog toe blijft Opera er behoorlijk tussenuit...
man Killjoy 09-02-2007 @ 09:14 fotoboek homepage
Lekker zoals het hele nieuwsbericht geknipt en geplakt is van security.nl
man beantherio 09-02-2007 @ 09:19 fotoboek no homepage
userIcon
quote:
Op donderdag 8 februari 2007 @ 23:07 schreef Devrim_ het volgende:

[..]

Veel mensen gebruiken 1.5 nog (na versie 2 werd de 1.5 tak verder ontwikeld)
Voor zover ik weet werden er in die versie alleen nog bugs gefixt en werden er geen nieuwe dingen toegevoegd. Het gaat dus misschien een beetje ver om te zeggen dat ie 'verder ontwikkeld' werd.
50  van 57 reacties op deze pagina. Pagina  1 2


Lees ook:

» 24/05 'Topoverleg Apple en Samsung levert niets op'8
» 23/05 Tele2 in beroep tegen uitspraak Pirate Bay20
» 23/05 BREIN klaagt Pirate Bay-uploader aan94
» 21/05 Storing treft DigiD12


delen | eKudos nujij

inloggen
» of registreer je eerst even
Gebruikersnaam 
Wachtwoord
 
online adverteren www.m4n.nl
Video's

meest gelezen

meer Digital & Games nieuws




True ©1999-2012 FOK! INTERNET SITES  |  gratis nieuws op je site?  |  algemene voorwaarden