Lek laat Firefox 1.5 tot 2.0 crashen
Gevolgen voor veiligheid onduidelijk
01 november 2006 | Lars Pasveer
Een lek in Firefox 1.5 (alle versies) en 2.0 zorgt ervoor dat de browser vrij simpel tot crashen wordt gebracht. Van deze Denial of Service wordt nog onderzocht of derden code op de computer kunnen uitvoeren. Het is de eerste echte bug voor Firefox 2, sinds deze vorige week verscheen.
Een speciaal opgemaakte webpagina met Javascript reserveert geheugenruimte en probeert daar vervolgens een bepaalde waarde aan toe te kennen. Onze Firefox 2.0-browser crashte direct toen we een
proof of concept (PoC) bekeken.
Er zijn slechts enkele regels tekst voor nodig om de browser om zeep te helpen. Voorlopig is er geen bewijs dat na de crash ook code op de computer kan worden uitgevoerd. Het lek is daarmee voorlopig vooral irritant. De bug bevindt zich nog in een laboratoriumfase; buiten de PoC is de crashcode nog niet opgedoken.
Het probleem wordt dan ook door sommige beveiligingsbedrijven als "gemiddeld gevaarlijk" ingeschaald. Bugzilla, dat lekken in Mozilla-producten verzamelt en bespreekt, schaalt het als "zeer ernstig" in.
Mozilla heeft officieel nog niet op het lek in Firefox gereageerd.
Lees meer artikels over :
mozilla, firefox, lek
bron: ZDNet
15/04/2009 14:37:31
Origineel bericht van Lars Pasveer Hilversum 01/11/2006
Nee, het is de bug die via Bugzilla (en anderen) wordt gemeld.
Een proof of concept staat hier:
http://werterxyz.altervista.org/Firefox2Range.htm
De vergelijking met een autoradio gaat mank. Het gaat om de afhandeling van deze regels Javascript in Firefox. Dat daar onvoldoende controle op is, is Mozilla wel degelijk aan te rekenen.
15/04/2009 14:37:31
Origineel bericht van Lars Pasveer Hilversum 01/11/2006
Nee, het is de bug die via Bugzilla (en anderen) wordt gemeld.
Een proof of concept staat hier:
http://werterxyz.altervista.org/Firefox2Range.htm
De vergelijking met een autoradio gaat mank. Het gaat om de afhandeling van deze regels Javascript in Firefox. Dat daar onvoldoende controle op is, is Mozilla wel degelijk aan te rekenen.
15/04/2009 14:37:31
Origineel bericht van capricornus 01/11/2006
De koningin der Nederlanden zou het op de radio en de televisie moeten afkondigen: dierbare onderdanen en gij allen, 11 miljoen internettende Nederlanders, gebruik Firefox 2.0 als browser en installeer op straffe van boete en onthoofding van uw pc ook de extension NoScript genaamd.
Kan ik lekker het lek mee uitproberen, ik crash lekker niet, ik durf zelfs onbeschermd een cracksite op - en het lukte me ook nog.
(WinXp sp1 sp2 fully patched AVG 7.5 HitmanPro FF 2.0 + NoScript Thunderbird).
15/04/2009 14:37:31
Origineel bericht van ST 02/11/2006
Goede reclame voor Firefox 
15/04/2009 14:37:30
Origineel bericht van Peter Am*dam 02/11/2006
Ook het PoC heeft bij mij geen enkel effect. Zal wel zijn, omdat ik geen enkele site zo maar scripts uit laat voeren. Ik krijg alleen de tekst good bye firefox te zien. Verder gebeurt er niks. Script kiddies die de pc's van andere script kiddies willen laten crashen zeker...
De andere bug had ik ook op bugzilla gevonden, maar die site vind ik zo onoverzichtelijk...
15/04/2009 14:37:30
Origineel bericht van Peter Am*dam 02/11/2006
Is dat de gemelde bug over www.ceridian.org? Mijn FF crasht helemaal niet op die pagina. Maar bij staat javascript dan ook standaard uit. Misschien kun je anders eens aageven, waar ik het PoC kan vinden? En fouten in javascript zijn geen fouten in FF. Als mijn autoradio problemen heeft, is de autofabrikant daar toch ook niet voor verantwoordelijk?
in de kijker »
reviews
Ubuntu kennen we als solide en bruikbaar linuxbesturingssysteem. Versie 12.04 heeft een nieuwe kernel en gebruikersinterface Unity is hier en daar bruikbaarder geworden.
lees meer »
news
Meer dan twee miljoen mensen hebben de herdenkingsplek voor de ramp van 11 september bezocht. Velen gebruiken technologie om alles uit de ervaring te halen.
lees meer »
news
Een ontevreden Facebookwerknemer besliste onlangs de richtlijnen voor het verwijderen van content te lekken aan nieuwssite Gawker. Dat deed het nodige stof opwaaien.
lees meer »
Game
Twintig jaar geleden redde een groepje naamloze helden de wereld. Nu is het aan een nieuwe generatie om de demonen terug richting de hel te sturen.
lees meer »
wedstrijden »
Win 6x Mission: Impossible - Ghost Protocol!
Doe mee »
