Veiligheidsproblemen ontdekt in Mozilla en Opera

Een hiaat in het beveiligingsmodel van de Java Virtual Machine in combinatie met JavaScript veroorzaakt een mogelijke beveiligingsfout in diverse browsers. De betrokken browsers zijn onder andere Opera, Mozilla en Netscape, zo lezen we op SecurityFocus. De fout beperkt zich niet tot slechts één platform, maar heeft betrekking op Windows en diverse Unices. Ook Slashdot maakt melding van de vulnerability, maar daar is te lezen dat vanaf versie 1.3 van Mozilla het gat gedicht is. De exploit heeft deze keer geen betrekking op Microsoft's Internet Explorer. Een voorbeeld van hoe de 'bug' misbruikt kan worden is ook reeds beschikbaar. De exploit laadt een willekeurige Java-class vanaf een locatie en voert deze uit:

Security bugjePioneers of Java Security Model exploitation such as Ben Mesander,Dan
Brumleve, & Georgi Guninski showed us wonderful methods of loading
arbitrary classes and images, connection to arbitrary hosts with class
loading and remote browser tracking , to name just a few.
We at meme156 laboratories are pleased to announce theyyyree baaaack!

[...] very minimal sample below followed by links to long dead bugs resurrected from the graves of exploits past by this most excellent everlasting bug. Old school window spoofing tekneeq.

Door Martin Sturm

Nieuwsposter

Feedback • 09-06-2003 14:4838

09-06-2003 • 14:48

38 Linkedin

Bron: SecurityFocus

Lees meer

Ongepatcht lek in Java 7 wordt actief misbruikt Nieuws van 28 augustus 2012
Opera patcht lek en weerspreekt claims over laksheid Nieuws van 19 oktober 2011
Door Google gevonden Java-bugs opgelost Nieuws van 14 juli 2007
Zes jaar oude fout maakt comeback in IE6, Mozilla en Opera Nieuws van 1 juli 2004
Beveiligingslekken in Opera-browser ontdekt Nieuws van 26 november 2003
Marktaandeel Internet Explorer groter dan ooit Nieuws van 28 juli 2003
Meer producten en artikelen
Software

Reacties (38)

-Moderatie-faq
38
34
25
10
0
0
Wijzig sortering
Laurent
9 juni 2003 14:57
Voor de mensen die een van de voorbeelden in werking willen zien: Je kan dan even hier kijken. De URL naar het voorbeeld uit het artikel werkt niet meer aangezien daarvan de max. bandbreedte is bereikt.

Als ik hier trouwens met Mozilla 1.4rc1 http://neurosis.hungry.com/~ben/msie_bug/ open (ook een voorbeeld) krijg ik alsnog te zien dat m'n browser niet secure is, terwijl volgens het artikel het gat in 1.3 al gedicht zou moeten zijn? Het lijkt me dat dit ook al is doorgevoerd naar 1.4rc1?
VaagOH
@Laurent9 juni 2003 16:00
Bij beide doet die test.html helemaa niets, ik krijg gewoon een wit scherm.

Bij die msie_bug krijg ik juist iets stoms:
In IE6 SP1 [+laatste patches via WindowsUpdate] geeft 'ie de foutmelding: Exception while fetching image:com.ms.security.SecurityExceptionEx[example0.action]: cannot connect to "www.microsoft.com"

In Mozilla 1.3.1 [laatste 'stable' die er is] krijg ik die bug te zien.

Het wordt eens tijd dat er van Mozilla 1.4 een stable uit komt... :)
Theadalus
@VaagOH9 juni 2003 16:26
Hmm, het is maar wat je stom vindt, die exception is juist goed!
If your browser got a security (or other) exception, then that was a good result. Your browser is not vulnerable to this exploit.
* 786562 Theadalus
Anoniem: 14829
@Laurent9 juni 2003 15:19
Hmm... Het eerste wat er gebeurde toen ik op die msie_bug link klikte, was een popup van m'n virusscanner dat het bestand example0.class-467b1387-32e9ef19.class een virus bevatte (JV/c).
Daarna heb ik maar niet verder geklikt... :)
Anoniem: 2022
@Laurent9 juni 2003 15:05
Jou voorbeeld werkt waarschijnlijk niet als je java niet toestaat "ongevraagde" windows te openen. Die 2e link geeft bij mij (mozilla 1.3) idd aan dat ik nog vurnable ben?
Zarc.oh
@Anoniem: 20229 juni 2003 15:55
*post verplaatst*
Pietervs
@Anoniem: 3369710 juni 2003 00:22
[off-topic]

Voeg even een w'tje toe aan het woordje 'Jou' en je kan eindelijk eens correct nederlands schrijven.
En voeg even wat manieren toe aan jouw manier van reageren, dan roep je misschien wat minder irritatie op.

Met andere woorden: zeik niet, man. We maken allemaal fouten, en type-fouten zijn de makkelijkste om te maken. Aangezien dit forum niet is opgericht voor de verspreiding van de Nederlandse taal, noch voor het corrigeren van spel- en taalfouten: WEGWEZEN!
[/offf-topic]
Anoniem: 2072
@Laurent9 juni 2003 15:19
Hint: gebruik van <html></html> en <body></body> is niet optioneel bij een HTML pagina.
Olaf van der Spek
@Anoniem: 20729 juni 2003 15:44
<html> niet, <head> en <body> wel.
Cipri
@Olaf van der Spek9 juni 2003 19:42
http://www.w3.org/TR/html4/index/elements.html
<html> is net zo optioneel als <head> en <body> :)
Olaf van der Spek
@Olaf van der Spek9 juni 2003 23:11
Vaag dat ik dat gemist heb.
Nou ja, dat scheelt weer 13 bytes.
insan1ty
@Anoniem: 20729 juni 2003 16:09
Voor IE volgens mij echt wel, ik zet die tags er nooit in en toch werkt het...
Rafe
@insan1ty9 juni 2003 16:27
Maar IE slikt ook de meest foute en incorrecte HTML. Volgens de HMTL specificaties horen die tags er wel in.
Anoniem: 55719
@Laurent9 juni 2003 15:13
Grappig: Ondanks het feit dat mijn browser (Opera 7) niet veilig is, pikt McAfee (v4.5.1) de bug wel op als een virus. Lang leve de virus-scanner!
hommer
@Anoniem: 5571910 juni 2003 08:30
F-prot vertoont hier hetzelfde. Voel ik me toch weer wat veiliger.
wzzrd
@Laurent9 juni 2003 20:31
Zowel Mozilla Firebird 0.6 als ook MS Internet Explorer 6 met alle mogelijke patches worden als niet secure weergegeven hier (!).

Ik vraag me dus een beetje af - mede gezien het feit dat men bij Mozilla zegt dat het gat al dicht is en ook gezien het feit dat IE wèl veilig zou zijn - hoe betrouwbaar die test-pagina is.
RaJitsu
9 juni 2003 15:00
Als er al een stabiele versie is van Mozilla 1.3, waarom zou je dan nog een oudere versie gebruiken (maar goed, er zijn ook nog altijd mensen die nooit hun software updaten, maar ide zullen dat ook deze keer niet doen (hebben uberhaupt geen weet van het lek))? Wat de meerwaarde is van netscape (welke nog altijd op naar ik geloof, mozilla 1.2 is gebasseerd) begrijp ik niet zo goed. Wat Opera betreft verbaas ik me er over dat zij dus toch wat achter liggen op dit gebied op Mozilla, daar ze altijd zulke vooruitstrevende taal uitslaan op een bijna arrogant manier tov de concurranten. Al moet wel gezegd worden dat ze de vorige keer, wel binnen een dag een update klaar hadden.
TaXaN
@RaJitsu9 juni 2003 15:16
Netscape 7 is gebaseerd op Mozilla 1.0.x; de volgende Netscape gaat gebaseerd zijn op Mozilla 1.4.
iKiddo
@RaJitsu9 juni 2003 19:32
Als er al een stabiele versie is van Mozilla 1.3
Maar die is er niet.
Mozilla 1.0 was de laatste 'stable' en 1.4 wordt de volgende. Vandaar dat Netscape op 1.0 gebaseerd is.
wzzrd
@iKiddo9 juni 2003 20:33
Mozilla 1.3.1
This is our latest stable release. New to Mozilla? Get this.
Mozilla 1.3 was stable, 1.3.1 is dat ook. Als 1.4 uitkomt is dat de stable tree. In de tussentijd zijn er ook al 1.1 en 1.2 stable versies geweest. Ter uwer informatie.
Anoniem: 52526
9 juni 2003 15:36
Ik heb Firebird 0.6 en volgens die test ben ik ook kwetsbaar :(
Little Penguin
9 juni 2003 16:38
Deze bug heeft te maken met JavaScript en is voor zover ik kan zien gefixed in Mozilla 1.3+ en Mozilla Firebird 0.6. Overigens is dit GEEN Java bug, maar een JavaScript bug. De Java bug die hier omschreven wordt kan ik niet uitvoeren.

Ook gaat het niet om het uitvoeren van commando's...
"The exploit example you give is not remote command execution but rather a
violation of the same origin policy." - Meer informatie kun je lezen op http://lists.netsys.com/pipermail/full-disclosure/2003-June/010200.htm l

Hier is ook te lezen dat de bug al bekend was sinds 15 april. Netjes dus dat dit ook verwerkt is in de eerste publieke release van Mozilla...

Overigens, voor diegene die dit als overwinning voor Microsoft IE zien, ja dit is een fout van Opera/NS/Mozilla. MAAR: Het aantal lekken in ActiveX/VBScript en dergelijke op IE is altijd nog vele malen groter...

* 786562 Little
Clairvoyant
10 juni 2003 00:04
Waarom Opera ook als vulnerable (vuln. voor de /. lezers) wordt geschreven weet ik niet, ik heb namelijk nergens last van met Opera 7.11. Krijg een prachtig wit schermpje en doet vervolgens helemaal niks.
Zarc.oh
@Clairvoyant10 juni 2003 01:08
Bij mij geeft die test pagina in Opera 7.11 aan dat ook Opera vulnerable is.
Warpozio
10 juni 2003 08:51
"...dat vanaf versie 1.3 van Mozilla het gat gedicht is."
Als ik mij niet vergis is Mozilla 1.3 ergens in maart uitgebracht...
(mezelf kennende) kan ik mij niet goed voorstellen dat heel veel Mozilla gebruikers nog met een 1.2 versie werken?
Creesch
9 juni 2003 15:14
Huhmz wat ik me nu afvraag of dit ook niet is bij firebird of echt alleen bij mozilla.
Dit omdat ik vaak zie dat mensen mozilla en mozilla firebird doorelkaar halen of voor het gemak samen noemen
TaXaN
@Creesch9 juni 2003 15:25
Ze hebben ergens gelijk; het verschil tussen Mozilla en Mozilla Firebird is enkel de UI. De onderliggende technologie (gecko, necko, libpr0n, js, ...) is identiek bij Mozilla en Firebird.
Alex
@TaXaN9 juni 2003 15:36
Als je echter de laatste nightly's van Firebird(Mozilla Browser) dan heb je de laatste gecko engine waarn de bug gesolved is.

De nightly's zijn hier te vinden:
ftp://ftp.mozilla.org/pub/firebird/nightly/latest-trunk/
Zarc.oh
@Alex9 juni 2003 16:11
Ik gebruik de nieuwste nightly (Mozilla/5.0 (Windows; U; Windows NT 5.0; en-US; rv:1.4b) Gecko/20030608 Mozilla Firebird/0.6), JavaScript mag bij mij (nu) ongevraagd windows openen, maar ik ben nog steeds vulnerable.
Anoniem: 82546
9 juni 2003 15:01
De exploit heeft deze keer geen betrekking op Microsoft's Internet Explorer.
Als dit andersom zou zijn wordt er volop gezeken op IE, nu is het andersom dus gaan we nu met z'n allen op Opera, Mozilla en Netscape zeuren? Nee, anders zou het wel weer anti-M$ worden...

Toch blij met IE :+
Darkvater
@Anoniem: 825469 juni 2003 15:09
Ik denk dat IE deze bug niet heeft omdat MS natuurlijk zijn eigen implementatie van Java heeft geimplementeerd, en niet de normale, SUN versie :(
Anoniem: 25556
@Darkvater9 juni 2003 15:44
Alleen heb je daar dus ongelijk in. Ook als je ipv. de microsoft VM de sun VM installeerd, kent IE dit 'gat' niet.

Zo zie je maar weer, ook andere fabrikanten maken fouten..
doubleduh
9 juni 2003 16:13
Maar wat is nou eigenlijk het probleem van deze bug, maw wat kan je ermee?
Anoniem: 35352
@Anoniem: 756639 juni 2003 19:20
Het probleem zit ook in IE als je daarin Sun's Java VM gebruikt.

Voor de duidelijkheid: misschien niet dezelfde exploit, maar de bug zit in de Java applet libraries, wat betekent dat het zeker ook in MSIE problemen kan geven.

edit:

Blijkbaar heb ik 't over een andere bug, die *wel* recent en *wel* echt is...

Gelukkig gebruik ik securityfocus zelf niet, welke idioot laat daar nu bugs van maanden oud op releasen alsof ze nieuw zijn? :r
1 2

Op dit item kan niet meer gereageerd worden.

Tweakers maakt gebruik van cookies

Tweakers plaatst functionele en analytische cookies voor het functioneren van de website en het verbeteren van de website-ervaring. Deze cookies zijn noodzakelijk. Om op Tweakers relevantere advertenties te tonen en om ingesloten content van derden te tonen (bijvoorbeeld video's), vragen we je toestemming. Via ingesloten content kunnen derde partijen diensten leveren en verbeteren, bezoekersstatistieken bijhouden, gepersonaliseerde content tonen, gerichte advertenties tonen en gebruikersprofielen opbouwen. Hiervoor worden apparaatgegevens, IP-adres, geolocatie en surfgedrag vastgelegd.

Meer informatie vind je in ons cookiebeleid.

Sluiten

Toestemming beheren

Hieronder kun je per doeleinde of partij toestemming geven of intrekken. Meer informatie vind je in ons cookiebeleid.

Functioneel en analytisch

Deze cookies zijn noodzakelijk voor het functioneren van de website en het verbeteren van de website-ervaring. Klik op het informatie-icoon voor meer informatie. Meer details

janee

    Relevantere advertenties

    Dit beperkt het aantal keer dat dezelfde advertentie getoond wordt (frequency capping) en maakt het mogelijk om binnen Tweakers contextuele advertenties te tonen op basis van pagina's die je hebt bezocht. Meer details

    Tweakers genereert een willekeurige unieke code als identifier. Deze data wordt niet gedeeld met adverteerders of andere derde partijen en je kunt niet buiten Tweakers gevolgd worden. Indien je bent ingelogd, wordt deze identifier gekoppeld aan je account. Indien je niet bent ingelogd, wordt deze identifier gekoppeld aan je sessie die maximaal 4 maanden actief blijft. Je kunt deze toestemming te allen tijde intrekken.

    Ingesloten content van derden

    Deze cookies kunnen door derde partijen geplaatst worden via ingesloten content. Klik op het informatie-icoon voor meer informatie over de verwerkingsdoeleinden. Meer details

    janee