Veiligheidsrisico in Mozilla producten
Patches en updates al uit
09 juli 2004 | Lars Pasveer
De ontwikkelaars van Mozilla waarschuwen voor een potentieel gevaar in de Firefox browser en Thunderbird mailclient. Ook de Mozilla browser is kwetsbaar. Voor alle programma's is een patch of update beschikbaar.
Het probleems spitst zich toe op een uit te buiten gat in de configuratie van Firefox en Thunderbird, leggen de ontwikkelaars uit op een informatiepagina. Het stelt kwaadwillenden in staat om programma's uit te voeren op de computer. Het probleem treft overigens alleen gebruikers van Windows: Linux en Mac blijven buiten schot.
In het Bugzilla foutmeldingsrapport 250180 wordt het probleem belicht: door het "shell" commando in Firefox/Thunderbird aan te roepen, kan toegang worden verkregen tot het bestandssysteem van Windows. Wie een bestand aanroept dat niet bestaat, laat Mozilla permanent vensters openen, tot het systeem crasht.
De ontdekker van het lek, Keith McCanless, erkent dat het shell-commando een
functionaliteit is, en niet per se een echte bug. Maar, zo schrijft hij, het werd blijkbaar ook door Microsoft als een gevaar gezien, want in het eerste servicepack voor Internet Explorer werd zulke shell-toegang via de browser afgesloten.
Op
dezelfde informatie-pagina staan pleisters voor Firefox en Thunderbird en heldere instructies hoe deze zijn toe te passen. Wie dat liever niet doet, kan direct een gepatchte versie van de software downloaden: beide programma's stegen een versiepuntje en zijn nu als respectievelijk Firefox 0.9.2 en Thunderbird 0.7.2 beschikbaar.
Lees meer artikels over :
firefox, thunderbird, bug, lek
bron: ZDNet
14/04/2009 23:16:40
Origineel bericht van Snowkrash Zoetermeer 09/07/2004
Een bug wordt ontdekt én hij wordt (snel) gerepareerd.
Zozo ... eens kijken of MS dit ook snapt.
14/04/2009 23:16:40
Origineel bericht van -=- 09/07/2004
Zolang bugloze software niet bestaat is dit DE manier om dit soort dingen af te handelen ... complimenten voor mozilla !
Daar kan M$ nog wat van leren
14/04/2009 23:16:40
Origineel bericht van Didero 09/07/2004
Helaas, wie zei dat andere browsers minder kwetsbaar waren? Ik herinner me de heftige discussie die hier via ZDNet liep. Het enige verschil is dat patches sneller beschikbaar zijn dan die van MS maar dat zegt nog niets over niet ontdekte "lekken" in de alternatieve browsers zoals Opera, Mozilla en Mozilla Firefox.
14/04/2009 23:16:40
Origineel bericht van maxx 09/07/2004
...bestaat niet. Wel een degelijk patchbeleid. En daarin onderscheid MS zich van de OSS programmeurs.
Echter niet in positieve zin...
14/04/2009 23:16:38
Origineel bericht van -=- 09/07/2004
Het is wel degelijk waar dat andere browsers, bijna per definitie, veiliger zijn dan IE.
Dit komt omdat IE een wezenlijk deel uitmaakt van Win$low%, en toegang heeft tot riscante delen van het systeem die een normale browser niet heeft.
Alleen daardoor al kunnen lekken in IE stukken ernstiger zijn dan an andere browsers.
Dit onderstreept nogmaals ook dat er ook een goed OS nodig is. De combinatie van browser en OS wat allebij niet van M$ af komt geeft je bijna de zekerheid dat je veilig zit.
14/04/2009 23:16:37
Origineel bericht van Didero 09/07/2004
-=- zegt: "Het is wel degelijk waar dat andere browsers, bijna per definitie, veiliger zijn dan IE." Boute bewering. Heb je hiervoor harde bewijzen op een rij? Ik wil niet enkel uitgaan van reacties van diezelfde negatievelingen die elke keer weer MS afkraken, of dit nu terecht of onterecht is. Als je toch zoveel energie in het afkraken van MS wil steken gebruik dan die energie in het gebruiken en leren van een alternatief besturingssysteem (bijvoorbeeld RISC OS, LINUX of OS/2) en laat de mensen die wel tevreden zijn met Windows gewoon hun gang gaan.
-=- zegt: Dit komt omdat IE een wezenlijk deel uitmaakt van Win$low%, en toegang heeft tot riscante delen van het systeem die een normale browser niet heeft. Alleen daardoor al kunnen lekken in IE stukken ernstiger zijn dan an andere browsers.
OK gedeeltelijk waar. MS zou beter kunnen kiezen voor een browser die minder in het systeem genesteld zit. Maar andere browsers zoals bijvoorbeeld Mozilla Firefox (op zich een goede browser, ik gebruik hem ook om websites te testen) geven via plugins als die niet goed zijn ingesteld direct toegang tot wezenlijke onderdelen van je besturingssysteem.
Dus of de verschillen tussen de browsers wel werkelijk zo groot zijn?
Overigens, dat geeft de website van mozilla.org aan, zijn de goede browsers van mozilla wél "technology previews". Dus de vraag is hoever de browsers nog doorontwikkeld moeten worden. Net als met virussen loop je altijd achter de feiten aan, zo ook met veiligheidsrisico's in de software. Of dit nu van MS is of van een andere partij.
Ik ben het wel met de andere reacties eens dat MS wel sneller patches moet uitbrengen maar om zomaar te stellen dat andere besturingssystemen beter zijn vind ik te simpel. Wat mij betreft einde discussie en laat iedereen voor zich kiezen wat hij wil gebruiken.
14/04/2009 23:16:37
Origineel bericht van -=- 09/07/2004
Hummm ... ik begrijp niet waar je het vandaan haald dat ik iemand die met win$low$ werkt niet tevreden kan laten zijn ....
Het enige wat mij dwars zit is dat als M$ eenmaal een bepaald product op de markt brengt (messenger, browser of weet-ik-veel-wat) alle M$-volgelingen meteen zweren hierbij, en niet naar andere, vaak betere, programma's kijken.
Uiteindelijk is alles een keuze, en ik kies ervoor om te kunnen kiezen, en kies daarom vooral niet voor de M$ knutsels.
Nog een laatste woord over de features:
Zoals mozilla op het moment is, zou ik niet weten wat voor functie ik nog mis, als ik (en dat gebeurd helaas wel eens) met een IE browser werk, mis ik gewoon basisfunctionaliteit. Ik heb het dan over tabbed browsing enzo.
Het is en blijft en fijt (en geen mening) dat M$ de meest onveilige en slechtste software op deze aardkloot maakt. Meer info kan je vinden op
www.microsuck.com ondanks dat de naam misschoen anders doet vermoeden, staat daar wel degelijk onderbouws wat er nou helemaal zo slecht aan ze is.
14/04/2009 23:16:37
Origineel bericht van Daniël Mantione Delft 09/07/2004
Het harde bewijs is dat IE, doormiddel van de omstreden ActiveX technologie, programmacode van vreemden accepteerd. Sinds de oorspronkelijke introductie is er veel werk verricht om het probleem te verhelpen, maar het is gebleken dat programmacode van externe computers accepteren (die niet in een kooi draaien zoals bij Java) niet goed werkt.
Ook zijn er veel problemen in de loop der jaren geweest met ActiveX controls die Microsoft als "te vertrouwen" had aangemerkt.
Verder, bij Microsoft zijn ze pas tot voor enkele jaren terug (2002) of zoiets op triviale programmeerfouten als buffer overflows gaan letten. In de open bron wereld is men dat eind jaren 80 gaan doen, toen er enkele veiligheidsproblemen in Unix aan het licht kwam.
Microsoft begint nu ongeveer op het punt te raken dat alle triviale buffer overflows verholpen zijn en begint nu aan de minder triviale problemen.
Bij open source heeft men dat punt al jaren geleden gepasseerd en worden tegenwoordig hele veiligheidsproblemen tegen het lijf gehouden.
Zo ook nu. Als ik het goed begrijp is het op deze manier niet mogelijk hacks te plegen virussen op de computer te krijgen, echter door te veel vensters te openen kan de computer onwerkbaar worden.
14/04/2009 23:16:37
Origineel bericht van Gill Bates 09/07/2004
Erg late patch. In Internet Explorer is de "bug" al sinds Service Pack 1 opgelost. Al die tijd zit de "bug" dus al in Mozilla (en afgeleiden).
Nog kwalijker: Internet Explorer kent zijn oorsprong in Mozilla. Vreemd dat men dan na de ontdekking van de "bug" in Internet Explorer niet even heeft gekeken of de "bug" misschien ook in Mozilla zou kunnen zitten.
Blijkbaar waren de ontwikkelaars (en gebruikers) van Mozilla zo overtuigd van de veiligheid van hun producten, dat ze die moeite niet eens even hebben genomen?
14/04/2009 23:16:37
Origineel bericht van Raka 10/07/2004
Het betreft hier een 'fout' in Windows, die mozilla, Opera etc. kwetsbaar stelt. Wanneer men bij de 'alternatieve' browserfabrikanten hier niets van af weten, kan er ook geen rekening mee gehouden hè? Wederom dus gewoon weer de brakheid van windows. Dit bedoel ik overigens niet als een flame richting MS (ik zou mijn woordkeus dus eigenlijk moeten aanpassen), maar gezegd dioent wel te worden dat de fout dus daar ligt, en niet bij een ander.
14/04/2009 23:16:36
Origineel bericht van Gill Bates 10/07/2004
@Snowkrash
Inderdaad, het lijkt erop dat er ontzettend snel een patch kwam voor het "lek". Het verschil is echter dat de ontwikkelaars van Mozilla zelf de ontdekkers zijn van het "lek". Bij Microsoft zijn de ontdekkers vaak beveiligingsexperts die dagen besteden aan het vinden van lekken om maar in het nieuws te komen. Je kunt moeilijk verwachten dat Microsoft supersnel op elke melding van beveiligingsexperts kan reageren.
Het is ook maar de vraag hoe snel de Mozilla-ontwikkelaars hun patch klaar hadden. Wanneer hebben ze het ontdekt? Een paar maanden geleden? Het is wel erg toevallig dat het melden van het "lek" en het uitbrengen van de patch zo snel na elkaar plaatvonden. Mozilla was zelf de brenger van het slechte nieuws; kennelijk wist niemand nog iets af van het "lek". In zo'n geval kun je voor een perfecte timing zorgen.
@Raka
Het klopt niet helemaal dat het besturingssysteem de schuldige is. Windows heeft eigenschappen die door elk softwareprogramma benut (misbruikt) kunnen worden. Een webbrowser staat in contact met "het internet" en Windows, en kan daardoor een doorgeefluik vormen voor allerlei kwaadwilligheid. Het is echter onhandig dat een webbrowser zoveel kan en mag.
Het uitzetten van die eigenschappen in Windows is niet wenselijk omdat dan de "normale" programma's geen toegang meer hebben tot het systeem. De probleem zit meer aan de webbrowserkant; ze zijn geschreven alsof ze een normaal Windows-programma zijn.
Eigenlijk zouden webbrowsers, mailclients, etc. een andere status moeten krijgen binnen een besturingssysteem. Deze verantwoordelijkheid kun je feitelijk bij iedereen neerleggen.
14/04/2009 23:16:36
Origineel bericht van RaKa Den Bosch 10/07/2004
Daar heb je gelijk in. Vandaar dat ik mijn bericht een beetje probeerde te nuanceren. Maar dan nog blijft het iets waar de webbrowserfabrikanten niets aan kunnen doen. Zijn zijn immers niet bekend met de broncode van Windows, indien zij wel bekend waren met de borncode, zelfs dan nog is het niet hun werk om na te zoeken of van een dergelijke onhandigheid sprake is. Zij maken een programma in de veronderstelling dat het wel goed zit in Windows. Zij hoeven niet eerst alle risico's na te pluizen die MS eventueel heeft opengelaten.
En als je het hebt over te te wijzen statussen, dat verhaal gaat niet helemaal op, omdat een 'lagere' stutus, waarschijnlijk het correct functioneren van de browser in de weg zal liggen. Overigens, met een fatsoenlijke firewall zijn die statussen wel goed te regelen. Maarja, die zit niet in Windows 
.
14/04/2009 23:16:36
Origineel bericht van Gill Bates 11/07/2004
@Raka
Je hebt helemaal gelijk. Overigens probeerde ook ik het te nuanceren door te zeggen dat de verantwoordelijkheid feitelijk bij iedereen te leggen is. En die firewall in Windows...misschien zit ie in Service Pack 2 voor XP, who knows? 
@Snowkrash
Mijn aannames zijn gebaseerd op wat ik lees:
http://mozilla.org/security/shell.html- In de laatste zin stelt het Mozilla Security Team dat ze eerst zelf het 'report' hebben uitgebracht, maar toen "per ongeluk" vergeten zijn de naam van Keith McCanless (de ontdekker van het lek) te noemen.
http://lists.netsys.com/pipermail/full- ... 23639.html- In dit bericht stelt McCanLess: "Since, I saw the debug
team marked the report public, I will comment on it." Zijn 'report' is dus door Mozilla zelf de openbaarheid in gebracht op een door Mozilla bepaald tijdstip.
Hieruit blijkt dat de Mozilla-ontwikkelaars veel controle hebben over het openbaarmaken van dergelijk 'nieuws'. Op hun eigen website hebben ze McCanless zelfs in eerste instantie niet eens genoemd, maar vonden ze het later blijkbaar wel handig om te zeggen dat iemand anders (ook) de bug ontdekt heeft en dat zij het nu al opgelost hebben.
Het is dus aannemelijk te maken dat Mozilla het melden van het "lek" en het uitbrengen van de "patch" op elkaar heeft kunnen afstemmen.
Maar goed, dit bewijst zichzelf. Op het moment dat een (onafhankelijk) beveiligingsexpert een volgend lek vindt in Mozilla, het publiekelijk maakt (buiten de Mozilla-ontwikkelaars om), wil ik wel eens zien hoe snel er een patch beschikbaar is.
Ik hoop dat dit "verhaal" je overigens wel tevredenstelt; je klonk nogal geïrriteerd.
14/04/2009 23:16:36
Origineel bericht van Snowkrash 12/07/2004
Geïrriteerd? Nou ja, je neemt aan dat het Mozilla ontwikkelteam de bug reports manipuleren, maar je baseert het op niets. Je wíl dit alleen geloven.
Feit blijft dat de bug gewoon als origineel aangemeld staat in BugZilla incl. alle reacties, dus waarom zouden ze dat verzwijgen en/of manipuleren?
Iedereen kan de bug database in om hierop te zoeken voor details .... ik doe dit in ieder geval wel.
Mozilla.org maakte de fout op de shell pagina die man zijn naam te noemen en hij sprak ze terecht hierop aan, wat ook allemaal in dat bug report staat.
Als jij hierin een complot ziet, ga je gang, maar dan kun je natuurlijk gelijk helemaal los met complot theoriën op MS zijn praktijken.
14/04/2009 23:16:35
Origineel bericht van prosperke 12/07/2004
Ik gebruik sinds kort mozilla, en ik moet zeggen het is niet slecht maar aan de mogelijkheden en snelheid van Avant Browser die spijtig genoeg op IE motor draait kan Mozilla nog niet aan. Misschien dat de Mozilla schrijvers eerst een moeten kijken naar de Avant Browser, zeker de manier van met tabbladen werken heel gemakkelijk en snel. En Avant Browser is ook freeware. Dus misschien zorgen dat Mozilla nog een beetje meer naar eigen noden aan te passen is, zoals de werkbalken en de manier van werken met tabbladen. Zie Avant Browser.
Anders ben ik redelijk tevreden over Mozilla doe zo verder mensen.
14/04/2009 23:16:35
Origineel bericht van Gill Bates 12/07/2004
Mozilla manipuleert de bug reports? Ik geloof niet dat ik zoiets beweerd heb.
Feit is dat Mozilla invloed heeft op publicaties. IT-sites zoals ZDNet, WebWereld en Tweakers.Net kwamen tegelijkertijd met dit nieuws. Dit nieuws werd naar buiten gebracht door Mozilla zelf, tegelijk met de patch.
Het schouderklopje voor deze 'snelheid' is dus onterecht. Wellicht zijn de Mozilla-ontwikkelaars erg snel, maar dat wordt hierdoor niet bewezen. Daarom wil ik graag zien hoe snel Mozilla is, wanneer een onafhankelijk instituut melding maakt van een lek in de Mozilla-browser. De Mozilla-ontwikkelaars moeten dan op een onverwachte tijding reageren.
In vergelijking met Microsoft: diverse beveiligingsexperts komen met nieuws over lekken in Internet Explorer naar buiten, waarop Microsoft dan ineens moet reageren. Het is logisch dat er dan niet meteen een patch voorhanden is.
Overigens, een "complot" is HEEL iets anders.
14/04/2009 23:16:35
Origineel bericht van mousie Eindhoven 13/07/2004
lees vanalles over lekken van IE,hoe erg is dit kan iemand mij dat vertellen
lees ook alles over alternatief(Mozilla
werkt dit goed? als ik dit installeer is dan IE verdwenen, als het me niet bevalt kan ik dan zondermeer terug naat IE, wie geeft duidelijke en objectieve info
thanx
mousie
14/04/2009 23:16:35
Origineel bericht van BoxCarRacer 15/07/2004
Ik gebruik al een tijdje de Mozilla browser en die bevalt heel goed. Je kunt het programma gewoon installeren en na de installatie wordt gevraagd of je wilt dat mozilla je standaardbrowser wordt of niet. IE blijft gewoon aanwezig en kun je ook gewoon blijven gebruiken.
14/04/2009 23:16:35
Origineel bericht van mmm aaa 24/08/2004
begint bij jezelf. welke browser je ook gebruikt. persoonlijk verkies ik toch firefox. eerst mozilla & firebird gebruikt en altijd behoorlijk tevreden. je loopt toch minder risico dat er vanzelf iets op je pc komt. nuja, als jij een hacker / virusschrijver was, zou je je dan specialiseren op ie, wat +90% van de bevolking gebruikt, of op een 'kleinere browser'? er zullen in mozilla ook wel holes zitten, alleen wordt er minder naar gezocht wegens niet interessant.
soit, een spyware bestrijder, firewall en virusscanner helpen je een pak op weg.
en natuurlijk de patches van windows installeren, helpt ook een pak
in de kijker »
reviews
Ubuntu kennen we als solide en bruikbaar linuxbesturingssysteem. Versie 12.04 heeft een nieuwe kernel en gebruikersinterface Unity is hier en daar bruikbaarder geworden.
lees meer »
news
Meer dan twee miljoen mensen hebben de herdenkingsplek voor de ramp van 11 september bezocht. Velen gebruiken technologie om alles uit de ervaring te halen.
lees meer »
news
Een ontevreden Facebookwerknemer besliste onlangs de richtlijnen voor het verwijderen van content te lekken aan nieuwssite Gawker. Dat deed het nodige stof opwaaien.
lees meer »
Game
Twintig jaar geleden redde een groepje naamloze helden de wereld. Nu is het aan een nieuwe generatie om de demonen terug richting de hel te sturen.
lees meer »
wedstrijden »
Win 6x Mission: Impossible - Ghost Protocol!
Doe mee »
