Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 52 reacties
Bron: ZDNet

Op ZDNet staat dat door het Israëlische bedrijf GreyMagic Software in de browsers Netsape en Mozilla een ernstige bug is ontdekt. De fout komt voort uit een onveilige implementatie van de techniek XMLHttpRequest, die ervoor zorgt dat XML-data via het http-protocol verzonden kan worden. Normaal gesproken zou elk XMLHttpRequest op veiligheid moeten worden gecheckt. Bij Mozilla 0.9.7 tot en met 0.9.9 en Netscape 6.1 en hoger gebeurt dit niet en kan een kwaadwillende maker van een website bestanden van de gebruiker opvragen en de inhoud van diens hardeschijf bekijken. Mozilla 1.0rc1 heeft geen last van het probleem, aangezien daarin sowieso XMLHttpRequest nog niet goed is verwerkt. Ook Internet Explorer was al eerder aan dezelfde fout onderhevig, maar Microsoft heeft het euvel al middels een eerdere patch opgelost.

Bug

Antaeus stuurde dit torretje onze kant op.

Moderatie-faq Wijzig weergave

Reacties (52)

Tja.. en nu ben ik wel benieuwd naar de reakties van al die mensen die altijd maar heel hard lopen te roepen hoe kl*te en buggy IE (en andere ms software) wel niet is en hoe goed mozilla, NS en alle andere IE.

Het maken van fouten is menselijk en (blijkbaar) dus niet bedrijfs-gebonden.. (ik neem aan dat we dat ongeveer hier wel uit kunnen concluderen)

Het is iig een vrij serieze fout (niet een plaatje dat ondersteboven wordt getoond ofzo). Ik kan haast niet begrijpen dat medewerkers (lees programmeurs) dit niet hebben geweten.. Zal tijdsdruk de oorzaak zijn geweest? Of is het hele XML verhaal dermate complex dat niemand kan voorspellen waar de mogelijk de gaten kunnen zitten?

edit:

Als eerste wil ik de reagerende tweakers bedankt voor hun goed beargumenteerde antwoorden :) (af en toe zie ik die echt veeeelste weinig.. of het nou anti of pro ms is)

Ten tweede, de mensen die zeggen dat Mozilla zuigt, hebben blijkbaar nog nooit met mozilla gewerkt. De enigste reden dat ik nog wel regelematig IE gebruik, is omdat een hoop HTML-tikkers geen bal snappen van WC3 en /of standaarden en het dus in IE er wel goed uitziet, maar als je Mozilla of NS of etc gebruikt, de hele website onleesbaar / onbruikbaar is!)

Tja.. en nu ben ik wel benieuwd naar de reakties van al die mensen die altijd maar heel hard lopen te roepen hoe kl*te en buggy IE (en andere ms software) wel niet is en hoe goed mozilla, NS en alle andere IE.
Er is wel een klein verschil tussen IE en Mozilla. Nog niet zo lang geleden stond veiligheid en bughunten bij MS minder hoog op de lijst dan het uitbrengen van software die steeds meer (over het algemeen) handige feature's. Doordat MS steeds meer functionaliteit in huin software stopten en stoppen, is de kans groot dat er dan een bug of leak in de software komt. De source wordt immers steeds groter.

Daardoor (en door het feit dat heel veel mensen IE gebruiken) kwamen er veel leaks en bugs aan het ligt in IE en OE. Gelukkig is MS tot inzicht gekomen en zijn ze nu bezig om de bestaande software veiliger te maken.

Mozilla daarintegen wordt continue getest door een fanatieke groep gebruikers die bijna allemaal elke dag de laatste nightly builds downloaden en gebruiken. Daardoor wordt er continue gebughunt door gebruikers waardoor fouten en leaks sneller aan het ligt komen en veel sneller verholpen kunnen worden. Zodra er een major bug of leak wordt gevonden, wordt er meteen actie ondernomen en is er binnen zeer korte tijd een gefixte versie beschikbaar.

(En natuurlijk is het in de mode om MS, al dan niet terecht, af te zeiken).
Het maken van fouten is menselijk en (blijkbaar) dus niet bedrijfs-gebonden.. (ik neem aan dat we dat ongeveer hier wel uit kunnen concluderen)
Het zou erg raar zijn als het maken van fouten wel bedrijfs gebonden is, want dat zou betekenen dat er geen mensen werken. Het is nou eenmaal zo dat mensen fouten maken, alleen is het zaak om dat als ontwikkel team zo goed mogelijk op te vangen.

Daardoor vind ik het raar dat deze bug heeft kunnen bestaan, ze wisten dat IE daar last van heeft gehad waardoor ze hun eigen browser best ff hadden kunnen testen.

Het zou erg raar zijn als het maken van fouten wel bedrijfs gebonden is, want dat zou betekenen dat er geen mensen werken.

We hebben het hier wel over Microsoft he? Zou me niets verbazen.... ;)
Het maken van fouten is menselijk en (blijkbaar) dus niet bedrijfs-gebonden.. (ik neem aan dat we dat ongeveer hier wel uit kunnen concluderen)
Uiteraard; fouten worden overal en altijd gemaakt.
Ik kan me alleen niet aan de indruk onttrekken dat er bij open source projecten (afgezien van projecten die duidelijk de naam 'beta' dragen uiteraard, waar ik Mozilla ondanks zijn pre-1.0 status niet toe reken) meestal minder security-leaks in zitten.
Waarschijnlijk omdat die open source developers software maken omdat ze graag goede software willen maken, en niet omdat ze hun loonstrookje willen (even de paar betaalde open-source proggers niet meerekenend).
Maar dat is een discussie op zich.

Wat ik veel erger vind aan MS (regarding IE in dit geval) is dat ze bepaald niet veel moeite doen om de bugs te fixen.
Zo is op <a href="\\\"http://jscript.dk/unpatched/\" target="_blank">deze</a> pagina te zien dat er 14 known vulnerabilities in IE zitten waar MS (nog steeds) geen patch voor heeft uitgebracht.

De bug in Mozilla is overigens al gepatched:
De 1.0 release candidate 1 heeft geen last van deze exploit omdat de XMLHttpRequest (waar de exploit in zit) in 1.0rc1 kapot is. De bug is verholpen, dus versies hierna hebben de exploit niet meer (en wel een werkende XMLHttpRequest als het goed is :) ).
Mozilla is ten eerste BETA
Internet explorer is een hoegenaamde 'stabiele release'

Bij Mozilla komt dit eens in de heel weinig tijd boven water, terwijl de source beschikbaar is. (Volgens microsoft is dat Risikovol omdat dan hackers nog makkelijker exploits kunnen vinden)
Internet explorer is het regelmatig raak. Puur toeval natuurlijk dat Mozilla nu in een onderdeel met precies dezelfde functionailteit ook een keer de mist in gaat.

Over jouw reaktie: IE is inderdaad veel vaker de klos dan Mozilla, dit maakt het niet verwonderlijk dat IE buggy en onveilig genoemd wordt.
Komt dat doordat IE zoveel meer gebruikt wordt, of doordat IE wel degelijk minder goed is op het gebied van bescherming van jouw gegevens. We zullen het nooit weten zolang mensen maar roepen dat Mozilla zuigt, een mening die veel mensen hebben op basis van de ervaringen met of nog erger 'horen zeggen' dat netscape 4, een ongerelateerd pakket; mozilla is opnieuw geschreven van scratch, zo hard zuigt. (en NS4 zuigt ook naar huidige maatstaven!)
lijkt me ook niet zo gek na de informatie van gisteren dat 97 % IE gebruikt...veel meer kans en ook interessanter om fouten te vinden.
En de tweakers dan, die gezellig naast hun triple, of zelfs quadruple-boot werkstation, ook nog een linux-box hebben staan, waar ook af en toe nog wel eens een mozillaatje of een schaapje op wordt opengetrokken?

Ik doe het zelf ook regelmatig, als m´n werkstation lekker drastisch bezig is met iets, dat ik dan even van achter m´n linux-doos het net op duik...

Als ik dan voor elke browser die in gebruik is, of liever gezegd, geinstalleerd is, en ooit al eens is gebruikt, wordt meegetelt, dan zit ik op een 4 tal hits voor NS/Mozilla, en helaas maar 2 hits voor Explorer.....
Tja, dan is bij mij thuis dus ineens 66,6% NS/Mozilla-minded?!?!?!?

En inderdaad, zoals Beaves stelt, als er meer gebruik van een bepaald pakketje wordt gemaakt, is het zeker intressanter om erin te gaan graven, of er eventuele security-holes in zitten....
Ik bedoel, denken we nou echt dat er ´experts´ zullen gaan zitten spitten, in een browser die door misschien 1000 personen op deze aardbol wordt gebruikt? Of zullen deze hun tijd beter benutten door te gaan blokken op een browser die door een miljoenenpubliek wordt gebruikt?
Die 97% is overigens ietwat twijfelachtig, het onderzoek noemt geen gebruik van Mozilla en haar varianten.
Ik denk dat 97% staat voor 100% minus 3%, waarbij die 3% te kennen heeft gegeven _nooit_ IE te gebruiken. Dat is iets heel anders dan dan 97% nooit iets anders dan IE gebruikt. Ongeveer 10% tot 15% v/d gebruikers zal wel eens iets anders dan IE gebruiken. Best veel gezien de monopoliepositie van IE+windows.
Dit soort fouten wordt gevonden door mensen die ernaar zoeken, niet door de huis tuin en keuken gebruiker, Het gebruiks percentage moet je dus relativeren.

Die 97% is overigens ietwat twijfelachtig, het onderzoek noemt geen gebruik van Mozilla en haar varianten.
het zal zeker wel in de richting van de 95+% gaan, maar dat onderzoek vindt ik niet dat je er blind op moet gaan.
Even als toelichtend voorbeeld.

Ik bruis het liefste met opera (volgens mij de snelste). Sommige websites kunnen daar niet tegen, dan probeer ik het met mozilla. Werkt dat ook nog niet omdat een of ander non standaard burotje de website gemaakt heeft dan pak ik IE.

(voorbeeldje, pak airmiles.nl maar eens en probeer eens iets te bestellen, de belastingdienst kan er trouwens ook nog iets van...)
Mozilla is ten eerste BETA
Het is een Release Candidate, geen beta. Een release candidate is een versie waarvan men denkt dat hij in principe goed genoeg is om officieel uit te brengen. Meestal wordt er na het uitbrengen van een RC1 voornamelijk getweakt.

Voor een RC vindt ik het een ernstige bug. Maar ik ga er vanuit dat het snel gefixt is. Verder alleen maar lof hoor, het gaat de goede kant op met Mozilla.

[edit]
Reactie op Zaadstra: ik zie dat ik niet goed gelezen heb, my bad.
In de RC1 zit de bug niet, alleen t/m v0.9.9

Dus snel de RC1 ophalen. Alleen wel jammer van die rare bug in de installer onder Win95 (je moet dan een zip ophalen dus je kan toch draaien)
Hoeveel bug reports zijn er mbt Mozilla in vergelijking met IE? precies, weinig dus.

fouten maken is menselijk maar sommige maken meer fouten dan anderen.
Web sites maak ik meestal met mozilla, deze browser houdt zicht beter aan de w3c regels, als het goed werkt, dan werkt het ook onder IE.
Alleen ontwikkelen voor IE veroorzaakt puinhoop....
mensen die altijd maar heel hard lopen te roepen hoe kl*te en buggy IE (en andere ms software)
Het is een FEIT dat IE buggy is en dat Microsoft wel erg makkelijk met bugs omspringt.

Dit is niet bedoeld als troll, maar als je als bedrijf meer dan 90% van de markt in handen hebt, dan heb je ook een verantwoording. En Microsoft is vergeten dat ze een verantwoording hebben.

Als ze die verantwoording niet aan kunnen, dan moeten ze stoppen met hun monopolistische gedoe. Het begint dan namelijk erg op imperialisme te lijken, en imperialisme heeft nog nooit iets goeds voor de gewone mens gedaan.
Dit is al een maand bekend hoor, ik heb 'em langs zien komen. Mozilla/netscape hebben het dus iig geheim gehouden om wat voor reden dan ook. Nadat er een maand niks gebeurde is het pas gepubliceerd.

Blijkbaar werkt het open source idee niet zo gek veel sneller dan bijv. MS qua bugs.

Overgens is de bug in ns/mozilla erger omdat je bij deze ook een lijst met bestanden kan opvragen, bij IE kon je alleen bestanden krijgen als je precies wist wat je wou hebben.
Dit is al een maand bekend hoor, ik heb 'em langs zien komen. Mozilla/netscape hebben het dus iig geheim gehouden om wat voor reden dan ook. Nadat er een maand niks gebeurde is het pas gepubliceerd.

Blijkbaar werkt het open source idee niet zo gek veel sneller dan bijv. MS qua bugs.
Niet helemaal correct; in het GreyMagic Security document over deze exploit staat dat ze op 24 april Netscape hebben geinformeerd, en 30 april deze exploit openbaar hebben gemaakt (toen er geen antwoord van Netscape kwam).

Het Mozilla Team (de open source developers dus) zijn er blijkbaar volledig buiten gelaten. Deze bug is dus 30 april openbaar gemaakt en gisteren (1 mei) heeft het Mozilla Team gereport dat de bug gefixt is. Lijkt mij afdoende snel.
Nee, GreyMagic Security heeft gewoon geduped wat anderen al hadden gevonden. Een week na die IE bug heb ik op meerdere mailinglists zien langskomen dat exact hetzelfde ook op NS/Mozilla werkte.
Maar bij Mozilla wisten ze het blijkbaar nog niet... (er was alleszins geen Bugzilla report)
Welke mailinglists waren dat overigens?
En bij IE -gezien het target platform- moet het moeilijk zijn om te weten welke bestanden het zijn? Volgens de laatste 'peilingen' is het maar 97% van de browser-markt ..."Like shooting fish in a barrel" :+

Bij een beroerd gepatchde PC kan je -mits je je huiswerk hebt gedaan- makkelijk even "buurten" op hetzelfde niveau als deze bug. Begin deze week ging het nog prima op de server van een client ;)
Mozilla 1.0rc1 heeft ook een soortgelijke bug die meen ik nog niet opgelost is. zie www.headliner.nl

Het gaat ze daar ook om dat de bugbounty wedstrijd die door netscape in het leven geroepen is een doofpot actie is.
De bugs die Security Related zijn worden in mozilla op "sensitive" gezet in de bugtrack van mozilla (bugzilla).

Dat houdt in dat ze alleen gezien kunnen worden door geauthoriseerd personeel van Mozilla en de persoon die de bug heeft aangemeld in Mozilla.

als GreyMagic niet zelf de bug heeft gesubmit in bugzilla (en dat is niet het geval, er was iemand anders namelijk eerder), dan kunnen zij de status van die bug dus niet volgen.

Dat evrhaal wat er staat is dus volkomen opgehangen aan een aantal aannames die beter niet gedaan kunnen worden.

Netscape (en mozilla) stoppen dus geen bugs in de doofpot, maar om de gebruikers te beschermen wordt de precieze informatie pas openbaar gemaakt wanneer er voldoende informatie is gevonden,en wanneer een mogelijke patch "dicht bij" is.

Zou Graydingus dus gewoon netjes zoals het hoort een bug hebben gesubmit, hadden ze meteen kunnen zien dat er binnen 2 dagen een fix voor was :)

[edit]
sumbit, daardoor werken mijn formuliertjes ook steeds niet aaahhhh |:(
Het probleem was dat die Gray Lamers de bug naar Netscape hebben gestuurd om aanspraak te kunnen maken op de $1000 beloning voor het vinden van een security hole in een van hun producten. Netscape heeft (overigen geheel volgens hun policy!) daar geen antwoord op gegeven. Dat doen ze nl. alleen als ze meer informatie nodig hebben. Blijkbaar had GrayMagic echter een goed bugreport samengesteld en was dat niet nodig. Als ze echter iets minder inhalig waren geweest en de bug gewoon in Bugzilla gepost hadden, WAAR HET HOORT, dan was dit alles nooit gebeurd, en dan zou er ook niet zoveel heibel gemaakt zijn om "niets".

Hoe je erbij komt dat iemand anders eerder was met de bug submitten naar Bugzilla weet ik alleen niet. Iemand anders heeft het idd maar gedaan, omdat die Graymagic lui het vertikten..

Beetje lomp ook dat ze als 'solution' aanraden om 'a less buggy, better performing browser' te gaan gebruiken.... 'k vraag me hard af wat dat zou moeten zijn. Ze zullen wel geen IE bedoelen, daar hebben ze *zelf* nog een hele rij andere bugs voor open staan! En behalve Opera is er dan niet veel keus meer... (Lynx misschien?)
Mozilla 1.0RC1 crasht meen ik op deze bug.
Ik geloof trouwens dat de crash tussen neus en lippen door ook gelijk maar even is gefixed :)
Dit probleem is overigens GISTER al verholpen... Lekker snel dus! (voor de Pro-open sourcers natuurlijk weer een mooi pluspuntje).

Overigens viel het met de bug allemaal nogal mee. Om een file van de hardeschijf te kunnen lezen moet je vantevoren de exacte filename weten, en dat is lastig. Profile names in Mozilla hebben bv. een 'salt' in de directorynaam waardoor deze niet gegokt kan worden. Je email, etc is Mozilla is dus nog steeds volkomen veilig van deze bug. Ook krijgt de hacker nooit schrijfrechten, alleen leesrechten. En Xml is (op dit moment) ook nog niet echt zo heel veel gebruikt op het Net, het meeste is nog geweest html, dus de kans dat iemand deze bug geexploit zou hebben is behoorlijk klein.
Maar niettemin natuurlijk mooi dat ie zo snel gefixed is :)

Dit is overigens ook niet de eerste security bug die in Mozilla gevonden is, beetje vreemd dat er nu zo'n drukte over gemaakt wordt. 't zal wel komen doordat 1.0 zo'n beetje uitkomt binnenkort.
Link? Onderbouwing?
Dit is de Bugzilla bug:

http://bugzilla.mozilla.org/show_bug.cgi?id=141061

Hier is informatie te vinden over wat het lek inhoudt, en hoe het is gefixed.

Ook op www.mozillazine.org staat een verhaaltje + een discussie op het forum
Profile names in Mozilla hebben bv. een 'salt' in de directorynaam waardoor deze niet gegokt kan worden. Je email, etc is Mozilla is dus nog steeds volkomen veilig van deze bug.
Wel eens naar de profile namen (directories) van Outlook Express gekeken? Of naar de Tempory directorynamen van IE?

Wat je hier noemt is geen verdienste van NS hoor, MS doet het ook.
Het probleem van MS is echter dat deze locatie te achterhalen is. Zie http://jscript.dk/unpatched/

En dan heb je niet zo veel aan een salt :(
Dit is de 3e keer dat deze link in het forum staat!

Op jscript.dk/unpatched staan linx waarvan mijn virusscanner nogal over de zeik gaat!

Deze pagina's omschrijven niet alleen de bug's, maar voeren deze ook direct bij de argeloze client uit!!!!

Waarom staat er hier geen waarschuwing? Wil je soms je mede tweakers in de problemen helpen?

edit:

Voor de volledigheid! Op sec.greymagic.com
Trojan Name: JS/Exploit-DialogArg,
Trojan Name: JS/Exploit-ReadOWC,
Trojan Name: Exploit-ScriptOWC
Beetje stom om nog is dezelfde fout te maken die je concurent ook al gemaakt heeft!
Ik mag je er vast wel even op wijzen dat zowel internet explorer als netscape op mozilla gebasseerd zijn.

Het is dus niet zo gek dat de fout in alle op mozilla gebasseerde browsers voorkomt. :)
Sorry, Internet Explorer is op Mozilla gebaseerd?
Nee hoor, die gebruikt zijn eigen rendering engine.
Netscape 6 is op Mozilla gebaseerd.
De verwarring zal wel ontstaan omdat IE zich identificeert als Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1)
Ooit was Internet Explorer 3 gebaseerd op delen van Mozilla, maar toen had nog niemand gehoord van XML, laat staan XMLHTTPRequest...
he joepie, weer een vermomde flame tegen IE en co... :'(

gaan we nu allemaal roepen dat dit met opera niet gebeurt ofzo?
genoeg off topic nu... feit dat er nu weer een redelijk zware bug is ontdekt is wel erg genant, zeker voor netscape.
Na het nieuws dat IE een vette 90% van de markt bediend zouden ze alle zeilen bij moeten zetten om weer iets terug te winnen.
ff reagerend op standeman
Ten tweede, de mensen die zeggen dat Mozilla zuigt, hebben blijkbaar nog nooit met mozilla gewerkt. De enigste reden dat ik nog wel regelematig IE gebruik, is omdat een hoop HTML-tikkers geen bal snappen van WC3 en /of standaarden en het dus in IE er wel goed uitziet, maar als je Mozilla of NS of etc gebruikt, de hele website onleesbaar / onbruikbaar is!)
opacity css functies heb ik in mozilla nog niet zien werken, terwijl dat toch echt wel een W3C standaard is!!
Dan gebruik je waarschijnlijk de verkeerde code.

probeer dit maar eens:-moz-opacity: 0.5; kan je toepassen op een <div> bijvoorbeld.

En het is nog helemaal geen onderdeel van de W3-specs vandaar ook het voorvoegsel -moz, wat IMHO een prima oplossing is totdat het daadwerkelijk een standaard wordt.

edit:

reactie op ferenc
opacity css functies heb ik in mozilla nog niet zien werken, terwijl dat toch echt wel een W3C standaard is!!
Zo is het maar net. Monzilla/Netscape en W3C standaarden???????

IE en NS zijn net zo standaard aan W3C als MIPS binaries runnen op een ia32 processor. Niet dus.
opacity css functies heb ik in mozilla nog niet zien werken, terwijl dat toch echt wel een W3C standaard is!!
Da's toch wel vreemd dan, want ik zie daar niets over staan in CSS1 of CSS2 (en zelfs niet in de kladversies van CSS3, op 't eerste zicht)?

PS: je voorbeeldje hieronder heeft al helemaal niks te maken met W3C standaarden...
Iedereen heeft het over Mozilla als ze Gecko bedoelen
Wanneer komt Netscape eigenlijk met de update? :'(
Ik gebruik graag Netscape en ik geen zin om zometeen Mozilla te gebruiken... maar ja, als AOL me geen keuze laat...

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True