Hoofdcategorieën

[RSS] Index » Nieuws » Core » Software » Mozilla en Firefox kwetsbaar voor user interface spoofing

Mozilla en Firefox kwetsbaar voor user interface spoofing

Door Remy Bergsma, zondag 1 augustus 2004 21:20
Bron: Secunia, submitter: bartware, views: 20.723

Beveiligingsfirma Secunia komt met een security advisory voor Mozilla en Mozilla Firefox, die vergelijkbaar is met die voor Internet Explorer die het bedrijf een aantal maanden geleden publiceerde. De vergelijking zit hem in het gegeven dat zowel Mozilla en Mozilla Firefox websites niet hinderen in het includeren van zogenaamde externe XUL-code (XML User Interface Language) in webpagina's. Hierdoor kunnen beide browsers voor een groot deel overgenomen worden vanaf de webserver die de pagina serveert.

Mozilla logoDe security advisory noemt als voorbeeld een PoC (Proof of Concept) exploit voor Mozilla Firefox die al is gepubliceerd. De PoC simuleert een SSL-beveiligde PayPal-website. De kwetsbaarheid is voor versie 1.7 van Mozilla en versie 0.9.1 van Mozilla Firefox voor het Linux-platform vastgesteld. Voor Windows is het voor Mozilla 1.7.1 en Mozilla Firefox 0.9.2 vastgesteld en voorgaande versies kunnen ook gevaar lopen. De oplossing die geboden wordt is het niet klikken op links van onvertrouwde sites.

Volgende 23:08
Vorige 14:20

Categorieën

Gerelateerde artikelen

Meuk updates

Reacties

Flat modeFlat mode Sorteer aflopendSorteer aflopend Moderatie FAQModfaq
Niveaufilter: -1 Ongewenst: 85 reacties zichtbaar850 Neutraal: 78 reacties zichtbaar78+1 Meerwaarde: 43 reacties zichtbaar43+2 Verplicht leesvoer: 22 reacties zichtbaar22
«  1  2  3  4  »

Door Mayco, zondag 1 augustus 2004 21:24

Score: 2
direct linkje naar de PoC: http://www.nd.edu/~jsmith30/xul/test/spoof.html

Door _Thanatos_, zondag 1 augustus 2004 22:29

Score: 0
En bij mij zegt ie "XML parsing error" (moz 1.7.1).

Door halfgaar, maandag 2 augustus 2004 00:27

Score: 0
En bij mij zegt ie "XML parsing error" (moz 1.7.1).

Dat klopt:
This particular demo does not work in the Mozilla Browser, but I know of no reason one could not be created.

Door menke, zondag 1 augustus 2004 22:51

Score: 1
direct linkje naar de PoC: http://www.nd.edu/~jsmith30/xul/test/spoof.html
Nee dank je.... ;)
De oplossing die geboden wordt is het niet klikken op links van onvertrouwde sites.

Door vso, zondag 1 augustus 2004 23:04

Score: 0
hmm je zou kunnen zien of je browser het wel/niet doet op die site en de juiste maatregelen nemen :? het is maar een idee ;) dan weet je meteen of je "openstaat"

en nu hoor ik iedereen zeggen hahaha ik draai lekker MIEX? sorry maar laat dat ff achterwegen ;) ik draai het wel ja .. maar draai ook firefox

Door dasiro, zondag 1 augustus 2004 23:15

Score: 0
wel cynisch die site, hey kijk deze browser is lek, indien je deze browser niet hebt, download hem dan nu

|:( |:(

Door VisionMaster, zondag 1 augustus 2004 23:21

Score: 1
Met de NightlyBuild van Mozilla zou je dus een kersverse (misschien soms wat buggy) browser kunnen downloaden die al een oplossing bevat voor het probleem. Die update cycli van Mozilla is erg kort.

Door Zarc.oh, maandag 2 augustus 2004 00:10

Score: 1
In de Trunk wordt nieuwe functionaliteit ontwikkeld, en ontstaan er nieuwe bugs. In de Branch worden zoveel mogelijk bugs geplet. Dus als er een bug opgelost wordt en je wilt geen buggy browser, moet je een branch versie downloaden :)

Door FP|IA, maandag 2 augustus 2004 01:18

Score: 1
"Het ene denken of zeggen, maar het andere doen."

Dat noem je hypocriet.

Ik vraag me af hoeveel Mozilla-mensen die altijd "IE is lek!" (is het ook) nou gaan posten ""aaaaaach, dit wordt toch wel snel gefixed". Mozilla is ook lek, al zij het misschien minder lek dan IE, of er zijn nog veel lekken niet ontdekt. Elke software heeft wel zijn problemen.

(En oh ja, ik surf met Mozilla 1.71.)

Door r a a p i e, maandag 2 augustus 2004 08:39

Score: 2
goeie oplossing voor IE en Firefox:
Spoofstick - http://corestreet.com/spoofstick/

Door Bor de Wollef, zondag 1 augustus 2004 21:24

Score: 2
Grappig feit dat er nu weer aangeraden word om niet op onbetrouwbare links te klikken. Daar hadden de vorige keer (toen het lek in IE bekend was) de firefox en mozilla aanhangers nog zo'n commentaar op.

Wel vreemd dat de kwetsbare versies voor Linux / Windows verschillen. Lijkt me dat het om de zelfde sourcecode gaat?

Door _Thanatos_, zondag 1 augustus 2004 21:57

Score: 2
Het is niet mozilla die dat zegt over niet op links klikken. En nee, de sourcecode voor windows anders dan voor linux is iets anders (compiler directives), dus de uiteindelijke code ook. Daarnaast geven ze aan dat het de versies zijn die ze getest hebben, en zo te lezen hebben ze voorgaande versies niet getest.

Door mr._Anderson, zondag 1 augustus 2004 21:58

Score: 0
De Linux versies lopen wat achter qua ontwikkeling, niet dat 0.9.1 en 0.9.2 nu zulke grote verschillen zijn. (Lees dus net hierboven bij Thanatos dat er ook verschillen zitten in de source code)

Ik (firefox gebruiker) vind het niet klikken op links ook maar een waardeloze oplossing hoor :) Waar ik nu benieuwd naar ben is hoe snel, en of er een bugfix komt.

Door Felix, zondag 1 augustus 2004 22:22

Score: 1
Mjah, het enige verschil tussen 0.9.1 en 0.9.2 is het oplossen van een probleem dat alleen in Windows bestond :P dus achterlopen met de ontwikkeling? echt niet.

Door mr._Anderson, zondag 1 augustus 2004 23:59

Score: 0
Ik dacht, misschien hebben ze relatief lange tijd nodig om het te porten naar Linux. Maar als dat het geval is, is ook direct uit de doeken gedaan waarom de Linux versie nog steeds 0.9.1 betreft :)

Door daimler, zondag 1 augustus 2004 22:28

Score: 0
Alleen werd het lek in IE door Advisory met licht-rood aangestempeld, terwijl het bij FireFox op geel blijft hangen..(zie link naar Advisory in origineel artikel versus link naar Advisory in doorlink naar IE-bug)

Door mephisto1982, maandag 2 augustus 2004 10:50

Score: 0
Wel vreemd dat de kwetsbare versies voor Linux / Windows verschillen.
0.92 was alleen een windows update, de nieuwste versie voor linux is nog steeds 0.91

Door Pietje Puk, maandag 2 augustus 2004 22:38

Score: 0
Er is met andere versies getest. De fout kan in meerdere versies zitten (en zit daar dan ook hoogstwaarschijnlijk ook in)

Door akisey, zondag 1 augustus 2004 21:24

Score: 0
Spoofing? Is dat dan de "spam" van de toekomst?

Door W3ird_N3rd, zondag 1 augustus 2004 22:53

Score: 0
Nee, dat is na-apen. Deze bug aapt de user interface na (de adresbalk, de "File Edit View Go etc" balk, etc). Zo kan waarschijnlijk de complete browser nageaapt worden en kan je b.v. het zo maken dat wanneer je op een certificaat ergens voor klikt je een fake bevestiging krijgt dat het certificaat in orde is.

Lijkt me trouwens sterk dat iets enigzins vergelijkbaars niet voor IE te maken zou zijn, als is het maar door een venster zonder status bar e.d. (zie het replyvenster van t.net waar ik nu in typ ;)) te popuppen en daarin met b.v. flash het een en ander na te apen. Niet dat dat even effectief is, maar er is wel wat op te verzinnen volgens mij.

Door MBV, zondag 1 augustus 2004 21:25

Score: 2
Dat is gelukkig net zo'n non-oplossing als het overtypen van links voor IE :'( Als je dit een oplossing durft te noemen....

Daarnaast (het zal ongetwijfeld nog veel herhaald worden) denk ik nog steeds dat Mozilla een relatief veilige browser is: er zijn minder hacks voor dan voor IE :P En aangezien het een browser voor de minderheid is, zullen de exploits niet vaak voorkomen.
Los van veiligheid staat dat ik een web-develloper ben, en het prettig vind als IE meer in onbruik raakt. Hoef je niet van die rare hacks te verzinnen...

Door Mordred, maandag 2 augustus 2004 18:56

Score: 1
Er bestaan officiele webstandaarden. Dat Microsoft zich niet aan die webstandaarden houdt, wil nog niet zeggen dat je voor elke browser apart hoeft te ontwikkelen. Alleen moet je voor IE workarounds toevoegen aan je websites, aangezien veel mensen IE gebruiken en je er niet vanuit kan gaan dat IE de pagina anders goed weergeeft.

Door bredend, zondag 1 augustus 2004 21:28

Score: 2
Wel gek dat die spoof een heel andere theme gebruikt :?
Ook is de sidebar niet open ;)

Door PenguinPower, zondag 1 augustus 2004 22:01

Score: 2
Inderdaad, ik heb bovendien ook een custom toolbar die niet wordt weergegeven. Maar hoezo is dit een kwetsbaarheid? Ik bedoel er is toch geen beveiliging omzeilt? Dit is toch geen bug !

Bovendien kan dit verholpen worden door in de user.js hetvolgende te zetten:
// Always display the menu in pop-up windows:
user_pref("dom.disable_window_open_feature.menubar", true);
// Always display the Navigation Toolbar in pop-up windows:
user_pref("dom.disable_window_open_feature.location", true);

Door Seven of Nine, zondag 1 augustus 2004 22:02

Score: 1
staat ook in die PoC die hier is gepost, men kan je prefs niet uitlezen, en dus niet alles precies mimic-en

Door trogdor, zondag 1 augustus 2004 23:01

Score: 0
dank @ penguinpower.

Ziet er komisch uit zo :-)
http://www.vankoperen.nl/temp/moz.gif

Door nhimf, zondag 1 augustus 2004 23:46

Score: 1
je kan het ook makkelijk doen door in je adresbalk: about:config
te tikken en dan kan je gemakkelijk deze settings aanpassen, ipv het zoeken naar user.js
Maar idd dan zie je gelijk dat het fake is.

Thx voor die tip!

Door Zaagmans, zondag 1 augustus 2004 21:29

Score: 2
http://bugzilla.mozilla.org/show_bug.cgi?id=244965

hmmm lijkt erop dat ie al gefixed is...
Bugzilla geeft aan dat het probleem gevonden is en dat die verholpen is

Door Harm, zondag 1 augustus 2004 21:33

Score: 2
Het gaat niet alleen om die bug, zoals onder meer op de Proof of Concept-pagina is te lezen. Bug 22.183 is veel belangrijker, aangezien daar al het hele punt van UI spoofen via een eigen chrome-applicatie aangehaald wordt.

Door heraut, zondag 1 augustus 2004 21:44

Score: 1
Wat ik vooral interessant is hoe bedrijven een patch van Mozilla of Firefox kunnen uitrollen op pak-m-beet 1000 werkstations.

Dat is dus een kwestie van gymschoenen aantrekken en het pand doorrennen! :D

Fijn hoor zo een veilig en goed doordacht alternatief voor een webbrowser. Ik weet een betere: stoppen met Internetten (alleen jammer van Tweakers.net). :9

Door Felix, zondag 1 augustus 2004 22:24

Score: 2
Dat kan heel simpel met een inlog script :) zo eentje uit de NT4 tijd bijvoorbeeld, simpel batch file die een zip file op de fileserver lokaal uitpakt. Klaar :) prefs, bookmarks etc blijven bewaard.

Door Movemoor, zondag 1 augustus 2004 23:48

Score: 2
Moet de gebruiker daarvoor wel permissies hebben. Dat is eigenlijk niet gebruikelijk. Maar goed, startup policy oid kan ook

Door Manpage, zondag 1 augustus 2004 22:24

Score: 1
Dit is niet alleen een probleem van Mozilla maar van alle Niet Microsoft Windows software.

Bijvoorbeeld hoe update je Sun Jave voor hetzelfde aantal werkstations. Er zit gewoon een auto update in.

Ik denk dat tegen te tijd dat Firefox 1.0 uitkomt er wel iets als een Mozilla Auto update tool uitkomt. Of gewoon Msi bestanden.

Maar bij linux bijvoorbeeld is dit probleem er niet. Bij Debian komt hij gewoon mee met apt.

Door jusak, maandag 2 augustus 2004 10:40

Score: 0
Wat ik vooral interessant vindt is dat je een eigenschap van Windows probeert toe te schrijven aan Mozilla en Firefox.

Door devzero, maandag 2 augustus 2004 12:40

Score: 0
Eén keer aanpassen op je NetBoot image en al je workstations rebooten. Klaar...

Door Seven of Nine, zondag 1 augustus 2004 21:45

Score: 1
Op deze Linuxbak werkt t mimic-en wel enigszins, maar niet zoals die pagina aanhaalt (komt door TBE). Hij laat namelijk die menubalk en statusbalk inline zien, dus heb ik 2 menubalken. Uitschakelen van TBE zet de menubalk wel op z'n eigen plek. Valt direct op heh, en dat kan je ook met bitmaps bereiken ;) Wel is het zo dat het in dezelfde skin is, dus niet helemaal eerlijk.
Verders is overal een statusbalk te zien (of 2 waar er maar 1 hoort), dus bijna geslaagd, maar niet helemaal ;).
In mozilla krijg ik trouwens een XML error op beide pagina's

Door mphilipp, zondag 1 augustus 2004 21:58

Score: 0
De vergelijking zit hem in het gegeven dat zowel Mozilla en Mozilla Firefox websites niet hinderen in het includeren van zogenaamde externe XUL-code in webpagina's
Sorry hoor, maar is dit 'Nieuw Nederlands' ofzo? Rechtstreeks met het woordenboek op schoot vertaald uit het Engels zo te zien... Als iets niet rechtstreeks te vertalen is, kun je de zin ook zodanig aanpassen dat je wél een correcte Nederlandsche zin krijgt ipv deze jibberish. Bijvoorbeeld:
De vergelijking zit hem in het gegeven dat zowel Mozilla en Mozilla Firefox niet verhinderen dat websites zogenaamde externe XUL-code in webpagina's opnemen.
Dan nog is het een beetje krom want een browser is een client en die kan helemaal niets doen aan wat een webserver stuurt. Hij krijgt het gewoon voor zijn kiezen en moet er iets mee doen. Idealiter moet ie slechte code niet uitvoeren en goed wél...maar ja...dat valt niet mee zo zien we nu maar weer.

Hopelijk krijgen we in het vervolg een betere vertaling.

Door mphilipp, dinsdag 3 augustus 2004 07:11

Score: 0
Taalpurist! Stel je toch niet zo aan. Een beetje tweaker kan toch wel Engels
Ehhh...duidelijk niet, anders had ie het wel goed vertaald...
Ennehhh... :r 2u2!
Als taalpurist een scheldwoord is voor mensen die hun moerstaal goed (proberen te) spreken, scheld mij dan maar uit. Ik kan me daar gelukkig niet voor schamen. Maar ja...jij hebt weer de hiscore met Halflife ofzo...ook iets om trots op te zijn...

zo! dát is pas flamebait!
«  1  2  3  4  »

Op dit item kan niet meer gereageerd worden.

Volgende 23:08
Vorige 14:20
VNU Media logo Powered by True

© 1998 - 2008 Tweakers.net - Alle rechten voorbehouden

Uitgever van: