Hoofdcategorieën

[RSS] Index » Nieuws » Core » Software » Kritieke bug in Firefox

Kritieke bug in Firefox

Door Inge Janse, maandag 12 september 2005 16:52
Bron: VNUNet, views: 27.319

Veiligheidsexpert Tom Ferris heeft een kritieke bug gevonden in Mozilla Firefox en de Mozilla Suite. Het probleem is van toepassing op alle huidige versies van de webbrowser, inclusief de eerste beta van Firefox 1.5. Tom Ferris heeft op 6 september de Mozilla-organisatie hierover ingelicht, om twee dagen daarna het nieuws alsnog publiekelijk bekend te maken. De als zeer kritiek bestempelde bug maakt een aanval door middel van een buffer overflow mogelijk. Hierdoor kan een website willekeurige code uitvoeren op de computer waarmee de internetpagina wordt bezocht. De oorzaak van het probleem ligt in de ondersteuning voor International Domain Names, oftewel IDN. IDN maakt het mogelijk om domeinnamen te voorzien van taalspecifieke karakters. De huidige kritieke bug is niet de eerste die gebruik maak van Mozilla's IDN-ondersteuning. In februari dit jaar bleek dat er spoofing-aanvallen konden worden uitgevoerd via de ondersteuning voor speciale domeinnamen.

Firefox-logoSinds 9 september biedt Mozilla op de website een oplossing voor het probleem. Gebruikers kunnen zowel handmatig als via de installatie van een update de ondersteuning voor IDN uitschakelen. Tom Ferris zelf is hier verre van gelukkig mee. Volgens hem is dit slechts een tijdelijke oplossing en kost het te veel moeite om gebruikers over te halen om een update te installeren of handmatig hun configuratie aan te passen. De Mozilla-organisatie heeft gemeld dat een veilige ondersteuning voor IDN vanaf de tweede beta van Firefox 1.5 aanwezig zal zijn.

Volgende 17:13
Vorige 15:18

Categorieën

Gerelateerde artikelen

Reacties

Flat modeFlat mode Sorteer aflopendSorteer aflopend Moderatie FAQModfaq
Niveaufilter: -1 Ongewenst: 58 reacties zichtbaar580 Neutraal: 55 reacties zichtbaar55+1 Meerwaarde: 29 reacties zichtbaar29+2 Verplicht leesvoer: 12 reacties zichtbaar12
«  1  2  »

Door Dragunov, maandag 12 september 2005 16:54

Score: 1
is het niet firefox 1.06?

Door franssie, maandag 12 september 2005 16:56

Score: 2
1.0.6 heeft de bug (huidige laatste versie)
Versie 1.5(.0) beta 1 heeft 'm ook nog maar 1.5 beta twee niet meer.
Verwarrend al die cijfers. Dus misschien 1.0.7 zonder bug (als die nog komt?)

Door marz738, maandag 12 september 2005 18:26

Score: 1
Als je het mij vraagt is het geen bug in Firefox, maar een bug in IDN!

Alle moderne browsers die de optie op enabled hebben zijn kwetsbaar.
Dus ....

Door DigiK-oz, dinsdag 13 september 2005 19:08

Score: 1
Je bedoelt dat een buffer-overflow in IDN's design zit? ;)

IDN is volgens mij alleen een specificatie, buffer-overflow lijkt me een probleem met de implementatie ervan

Door FiscBiker, dinsdag 13 september 2005 00:09

Score: 0
Niet om te trollen of zo (maar wel om te pochen):

Mijn FreeBSD ports-versie werd op 11 september bijgewerkt met een patch, dus mijn huidige laatste beschikbare versie is gewoon veilig!

Door twabi2, maandag 12 september 2005 16:55

Score: 2
Enkele artikels hieronder, gisteren nog, lees ik dit:
Ross is van mening dat ingewikkelde software gemaakt wordt door luie programmeurs die de complexiteit van hun programma niet willen inzien en de problemen vervolgens afschuiven op hun gebruikers. Alle internetbrowsers kennen exploits, dat is inherent aan netwerksoftware. Volgens Ross draait het daarbij om de vraag hoe lang het duurt om een patch te leveren. En laat dat nu juist een punt zijn waarop Firefox uitblinkt, zegt Ross.
Leuk dat ze het bevestigen |:(
Ik vind dat ze hier net doen waarmee ze zo graag uitpakken het niet te doen... Jammer, erg jammer

Door Tees, maandag 12 september 2005 17:02

Score: 1
Tsja...als ze niet direct een oplossing voor handen hebben om het probleem te fixen is het beter om de desbetreffende functie dan maar (tijdelijk) uit te schakelen.
Mijns inziens doet Firefox juist wel het goede (ook volgens Ross) door in dusdanig korte tijd een 'patch' te leveren.

Door Wim-Bart, dinsdag 13 september 2005 00:01

Score: 1
Lekker snel die patch.... Dan toch maar een paar dagen wachten op een IE patch..... Komt misschien wel laat maar komt wel :-)

Leuk ook om te zien dat er wordt geschermd met het feit dat er een bedrijf is in Redmond dat vergeet om oude versies te updaten omdat het commercieel niet interessant zou zijn. Blijkt dat een vuurvos ook opeens last krijgt van dat gedrag. Wacht maar op een nieuwe versie........

Bwahhhhhh

Door JozyDaPozy, maandag 12 september 2005 16:58

Score: 2
Ik begrijp niet waarom Firefox niet een functie heeft waardoor de patch die het oplost niet gewoon direct wordt geinstalleerd zonder tussenkomst van de gebruiker. Dat zou veel gevaarlijke situaties voorkomen.

Door Daysleeper, maandag 12 september 2005 17:02

Score: 2
omdat het dan een kwestie van tijd is totdat virussen of andere ongein van dezelfde mogelijkheid gebruik maken.

Door cola4ever, maandag 12 september 2005 17:03

Score: 0
Maar dan wel in de vorm van een functie die aan en uit te zetten is

Door El_ByteMaster, maandag 12 september 2005 17:05

Score: 0
...zolang je dat maar handmatig uit kan zetten en er een warning only is. Zoals nu al de 'new updates available' pop-up maar dan een rood-gekleurde en met hoofdletters.

Ik vraag me trouwens af of het mogelijk is om bepaalde dns servers te poison'en zodat FF gebruikers onbewust "updates" vanaf een fake server gaan downloaden, zeker als dit blind gaat gebeuren.

Door TGEN, maandag 12 september 2005 17:36

Score: 0
Afaik heeft FireFox een ingebouwd SSL certificaat die hij met het certificaat van de updates server vergelijkt.

Door woekele, maandag 12 september 2005 18:59

Score: 1
In 1.5 kunnen inderdaad updates worden geinstalleerd zonder Firefox helemaal opnieuw te moeten installeren.

Door k7of9, maandag 12 september 2005 19:09

Score: 0
Bovendien, in 1.5 beta is het updatesysteem geintroduceerd. Wanneer er een update of patch beschikbaar is wordt dit gemeld aan de gebruiker en het enige wat vervolgens gedaan hoeft te worden is op een knopje te klikken en de browser te herstarten. Als dat al teveel moeite is...

Door kidde, maandag 12 september 2005 19:16

Score: 0
Daar heb je de linux pakketmanagers voor! En die patchen niet alleen firefox, maar al je kwetsbare software, als je ze goed hebt ingesteld.

Door DeKoning!, maandag 12 september 2005 17:00

Score: 2
Even op onderstaande link klikken, na install Firefox restarten en in 'About' box controleren dat er in de user-agent string staat 'NoIDN'. Klaar ben je.
http://ftp.mozilla.org/pu.../1.0.6/patches/307259.xpi

Door freggy, maandag 12 september 2005 17:03

Score: 2
Zoals je kan zien op https://bugzilla.mozilla.org/show_bug.cgi?id=307259 , is deze bug inmiddels ook in de broncode gefixt, zodat een workaround niet nodig zal zijn. Nieuwe versies van Firefox met deze patch geïntegreerd, zullen er zeer spoeding aankomen.

Als men beweert dat Firefox veiliger is dan IE, dan gaat het niet om het feit dat er geen lekken ontdekt worden (dat is nu eenmaal onmogelijk, jammer genoeg), maar dan gaat het om de snelheid waarmee die opgelost worden. Waar dat bij IE vaak over ettelijke weken gaat, is het bij Firefox eerder iets in de grootte-orde van een aantal dagen.

Door sopsop, maandag 12 september 2005 17:43

Score: 1
Die link die je geeft bij "ettelijke weken". Dat is nou ook niet echt te controleren, is het wel. Ik klik er een paar aan, en het zijn gewoon allemaal exact dezelfde omschrijvingen. Als ze nou refereren naar een bron die een exacte omschrijving geeft... En ook wat meer info geven over dingen als het OS waar het om gaat, dus niet "Windows (Various versions to be determined)". Dat had die site in die 107 days overdue ook wel uit kunnen vinden, nietwaar?

Dat MS wel eens een steekje laat vallen bij kritischepatches staat buiten kijf. Dat wij kunnen zien dat het al in de broncode van FF is aangepast wil natuurlijk niet zeggen dat het al releasable is. Dat moet nog getest worden, zal bij MS niet anders gaan. Vooralsnog ziet het er naar uit dat deze patch zal moeten wachten op de tweede beta van 1.5.

Door chrisboers, maandag 12 september 2005 17:07

Score: 0
WAT!!! Schande. Een kritieke fout gewoon niet melden, en vervolgens met zo'n halfbakken patch komen. Zou Microsoft es moeten doen, dan hadden hier binnen 10 minuten zo'n 100 reacties gestaan. Maar dit is FireFox he, dus dan is dat allemaal anders.

Weet je wat, ik gebruik gewoon weer Internet Explorer.

Door twiFight, maandag 12 september 2005 17:57

Score: 2
Jammer dat je het sarcasme niet inziet.

Wat mij betreft een terechte reactie van chrisboers, ook al schiet niemand er wat mee op. Zulke reacties zijn namelijk maar al te standaard bij een bericht over een lek in MSIE. Wat je van MSIE of FF denkt moet je zelf weten, maar het valt op dat de reacties altijd een stuk milder zijn als het niet over MS gaat.

Door xost, maandag 12 september 2005 17:11

Score: 0
1.5 Beta 1 draai ik, maar ik kan dus nérgens een Beta 2 vinden.

Zelfs niet bij Nightly Builds

Door franssie, maandag 12 september 2005 17:13

Score: 2
"De Mozilla-organisatie heeft gemeld dat een veilige ondersteuning voor IDN vanaf de tweede beta van Firefox 1.5 aanwezig zal zijn" ... moet nog komen inderdaad

Door xost, maandag 12 september 2005 17:14

Score: 0
Ok, dan zei ik niks.

Ik dacht dat Beta 2 al uit was gekomen.

Door Oester83, maandag 12 september 2005 17:12

Score: 2
quote uit link in artikel:

"The problem has to do with the way the Firefox and Mozilla browsers handle International Domain Names, or IDNs, said Mike Schroepfer, director of engineering at Mozilla. IDNs are domain names that use local language characters. The fix disables support for such Web addresses, he said."

heb wat gegoogled maar niets gevonden ...
Wat doet dit dan juist ? Wat wordt er nu eigenlijk uitgeschakeld?

dank

Door The_DoubleU, maandag 12 september 2005 17:21

Score: 2
IDN is een nieuwe manier om met Domein name aan te geven.
Met IDN kan je non-ASCII characters gebruiken of een compleet andere taal zoals Arabish. Je kan bijvoorbeeld umlauts gebruiken.
www.ümlaut.de is dan een ander address dan www.umlaut.de

Door in je about:config network.enableIDN op False tezetten schakel je dit uit.
Je zult hier weinig van merken om dit nog maar weinig servers dit gebruiken.

Door XiQ, dinsdag 13 september 2005 00:26

Score: 0
En je kan het testen door bijvoorbeeld www.münchen.de in te tikken. Deze link werkt niet met IDN uitgeschakeld, IDN wordt in Duitsland dus al gebruikt.

Door MIster X, dinsdag 13 september 2005 10:04

Score: 1
Uit het lijstje DNS registries known to have adopted IDNA concludeer ik dat IDN nog niet ondersteund wordt voor .com en .nl.

Door Rembert, maandag 12 september 2005 17:25

Score: 0
Erg handig, dat about:config waar je dit in Firefox kunt uitzetten. Zo'n beetje de 'registry' van Firefox maar dan wat gebruikersvriendelijker. Gekke was dat die network.enableIDN al was uitgeschakeld (1.06 versie). Misschien dat ik m al eens eerder heb uitgeschakeld. Hmmzzz..... ongetwijfeld ga ik vergeten dat ik m heb uitgeschakeld na update naar een goede versie.
«  1  2  »

Op dit item kan niet meer gereageerd worden.

Volgende 17:13
Vorige 15:18
VNU Media logo Powered by True

© 1998 - 2008 Tweakers.net - Alle rechten voorbehouden

Uitgever van: