Tweet

0

Mozilla repareert kwetsbare Firefox-extra’s

Browserupdate nog niet beschikbaar

Mozilla heeft een lek gedicht dat een groot aantal add-ons in zijn Firefox-browser kwetsbaar maakte voor gegevensdiefstal.

Het gaat om browserextra’s die hun informatie opslaan in JavaScript-bestanden in plaats van gelaagde Java ARchive (.jar)-archiefbestanden. Mozilla-veiligheidschef Window Snyder, die de kwetsbare add-ons vorige week dinsdag ‘plat’ noemde, zegt op de Mozilla Security Blog dat een aanvaller vanaf het internet gegevens kan opvragen. In eerste instantie werden Greasemonkey en Download Statusbar als risicogevallen genoemd, maar later gaf de openbronstichting een veel langere lijst vrij.

Het grootste gevaar is dat een hacker de lekke add-ons gebruikt om uit te vinden welke software een Firefox-surfer op zijn computer heeft staan. Daar kan hij dan een volgende aanval op afstemmen. Mozilla heeft het risico van het ‘platte’ add-on-lek als laag bestempeld en heeft nog niet bekendgemaakt wanneer het update 2.0.0.12 uitbrengt.

De add-ons zijn een herhaaldelijk punt van kritiek als het op browserbeveiliging aankomt. Het eerder genoemde Greasemonkey, waarmee het uiterlijk van veel verrijkte websites met gebruikersscripts kan worden aangepast, bleek een hit bij Firefox-gebruikers omdat het advertenties kan blokkeren en webapplicaties als Gmail radicaal kan veranderen. De add-on bleek een enorm veiligheidslek te bevatten, waardoor hackers toegang konden krijgen tot elk bestand op de harde schijf van een gebruiker. 
 

bron: ZDNet