Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 38 reacties
Bron: SecurityFocus

Een hiaat in het beveiligingsmodel van de Java Virtual Machine in combinatie met JavaScript veroorzaakt een mogelijke beveiligingsfout in diverse browsers. De betrokken browsers zijn onder andere Opera, Mozilla en Netscape, zo lezen we op SecurityFocus. De fout beperkt zich niet tot slechts n platform, maar heeft betrekking op Windows en diverse Unices. Ook Slashdot maakt melding van de vulnerability, maar daar is te lezen dat vanaf versie 1.3 van Mozilla het gat gedicht is. De exploit heeft deze keer geen betrekking op Microsoft's Internet Explorer. Een voorbeeld van hoe de 'bug' misbruikt kan worden is ook reeds beschikbaar. De exploit laadt een willekeurige Java-class vanaf een locatie en voert deze uit:

Security bugjePioneers of Java Security Model exploitation such as Ben Mesander,Dan
Brumleve, & Georgi Guninski showed us wonderful methods of loading
arbitrary classes and images, connection to arbitrary hosts with class
loading and remote browser tracking , to name just a few.
We at meme156 laboratories are pleased to announce theyyyree baaaack!

[...] very minimal sample below followed by links to long dead bugs resurrected from the graves of exploits past by this most excellent everlasting bug. Old school window spoofing tekneeq.
Moderatie-faq Wijzig weergave

Reacties (38)

Voor de mensen die een van de voorbeelden in werking willen zien: Je kan dan even hier kijken. De URL naar het voorbeeld uit het artikel werkt niet meer aangezien daarvan de max. bandbreedte is bereikt.

Als ik hier trouwens met Mozilla 1.4rc1 http://neurosis.hungry.com/~ben/msie_bug/ open (ook een voorbeeld) krijg ik alsnog te zien dat m'n browser niet secure is, terwijl volgens het artikel het gat in 1.3 al gedicht zou moeten zijn? Het lijkt me dat dit ook al is doorgevoerd naar 1.4rc1?
Bij beide doet die test.html helemaa niets, ik krijg gewoon een wit scherm.

Bij die msie_bug krijg ik juist iets stoms:
In IE6 SP1 [+laatste patches via WindowsUpdate] geeft 'ie de foutmelding: Exception while fetching image:com.ms.security.SecurityExceptionEx\[example0.action]: cannot connect to "www.microsoft.com"

In Mozilla 1.3.1 [laatste 'stable' die er is] krijg ik die bug te zien.

Het wordt eens tijd dat er van Mozilla 1.4 een stable uit komt... :)
Hmm, het is maar wat je stom vindt, die exception is juist goed!
If your browser got a security (or other) exception, then that was a good result. Your browser is not vulnerable to this exploit.
* 786562 Theadalus
Hmm... Het eerste wat er gebeurde toen ik op die msie_bug link klikte, was een popup van m'n virusscanner dat het bestand example0.class-467b1387-32e9ef19.class een virus bevatte (JV/c).
Daarna heb ik maar niet verder geklikt... :)
Jou voorbeeld werkt waarschijnlijk niet als je java niet toestaat "ongevraagde" windows te openen. Die 2e link geeft bij mij (mozilla 1.3) idd aan dat ik nog vurnable ben?
*post verplaatst*
\[off-topic]

Voeg even een w'tje toe aan het woordje 'Jou' en je kan eindelijk eens correct nederlands schrijven.
En voeg even wat manieren toe aan jouw manier van reageren, dan roep je misschien wat minder irritatie op.

Met andere woorden: zeik niet, man. We maken allemaal fouten, en type-fouten zijn de makkelijkste om te maken. Aangezien dit forum niet is opgericht voor de verspreiding van de Nederlandse taal, noch voor het corrigeren van spel- en taalfouten: WEGWEZEN!
\[/offf-topic]
Hint: gebruik van <html></html> en <body></body> is niet optioneel bij een HTML pagina.
<html> niet, <head> en <body> wel.
Vaag dat ik dat gemist heb.
Nou ja, dat scheelt weer 13 bytes.
Voor IE volgens mij echt wel, ik zet die tags er nooit in en toch werkt het...
Maar IE slikt ook de meest foute en incorrecte HTML. Volgens de HMTL specificaties horen die tags er wel in.
Grappig: Ondanks het feit dat mijn browser (Opera 7) niet veilig is, pikt McAfee (v4.5.1) de bug wel op als een virus. Lang leve de virus-scanner!
F-prot vertoont hier hetzelfde. Voel ik me toch weer wat veiliger.
Zowel Mozilla Firebird 0.6 als ook MS Internet Explorer 6 met alle mogelijke patches worden als niet secure weergegeven hier (!).

Ik vraag me dus een beetje af - mede gezien het feit dat men bij Mozilla zegt dat het gat al dicht is en ook gezien het feit dat IE wl veilig zou zijn - hoe betrouwbaar die test-pagina is.
Als er al een stabiele versie is van Mozilla 1.3, waarom zou je dan nog een oudere versie gebruiken (maar goed, er zijn ook nog altijd mensen die nooit hun software updaten, maar ide zullen dat ook deze keer niet doen (hebben uberhaupt geen weet van het lek))? Wat de meerwaarde is van netscape (welke nog altijd op naar ik geloof, mozilla 1.2 is gebasseerd) begrijp ik niet zo goed. Wat Opera betreft verbaas ik me er over dat zij dus toch wat achter liggen op dit gebied op Mozilla, daar ze altijd zulke vooruitstrevende taal uitslaan op een bijna arrogant manier tov de concurranten. Al moet wel gezegd worden dat ze de vorige keer, wel binnen een dag een update klaar hadden.
Netscape 7 is gebaseerd op Mozilla 1.0.x; de volgende Netscape gaat gebaseerd zijn op Mozilla 1.4.
Als er al een stabiele versie is van Mozilla 1.3
Maar die is er niet.
Mozilla 1.0 was de laatste 'stable' en 1.4 wordt de volgende. Vandaar dat Netscape op 1.0 gebaseerd is.
Mozilla 1.3.1
This is our latest stable release. New to Mozilla? Get this.
Mozilla 1.3 was stable, 1.3.1 is dat ook. Als 1.4 uitkomt is dat de stable tree. In de tussentijd zijn er ook al 1.1 en 1.2 stable versies geweest. Ter uwer informatie.
Ik heb Firebird 0.6 en volgens die test ben ik ook kwetsbaar :(
Deze bug heeft te maken met JavaScript en is voor zover ik kan zien gefixed in Mozilla 1.3+ en Mozilla Firebird 0.6. Overigens is dit GEEN Java bug, maar een JavaScript bug. De Java bug die hier omschreven wordt kan ik niet uitvoeren.

Ook gaat het niet om het uitvoeren van commando's...
"The exploit example you give is not remote command execution but rather a
violation of the same origin policy." - Meer informatie kun je lezen op http://lists.netsys.com/pipermail/full-disclosure/2003-June/010200.htm l

Hier is ook te lezen dat de bug al bekend was sinds 15 april. Netjes dus dat dit ook verwerkt is in de eerste publieke release van Mozilla...

Overigens, voor diegene die dit als overwinning voor Microsoft IE zien, ja dit is een fout van Opera/NS/Mozilla. MAAR: Het aantal lekken in ActiveX/VBScript en dergelijke op IE is altijd nog vele malen groter...

* 786562 Little
Waarom Opera ook als vulnerable (vuln. voor de /. lezers) wordt geschreven weet ik niet, ik heb namelijk nergens last van met Opera 7.11. Krijg een prachtig wit schermpje en doet vervolgens helemaal niks.
Bij mij geeft die test pagina in Opera 7.11 aan dat ook Opera vulnerable is.
"...dat vanaf versie 1.3 van Mozilla het gat gedicht is."
Als ik mij niet vergis is Mozilla 1.3 ergens in maart uitgebracht...
(mezelf kennende) kan ik mij niet goed voorstellen dat heel veel Mozilla gebruikers nog met een 1.2 versie werken?
Huhmz wat ik me nu afvraag of dit ook niet is bij firebird of echt alleen bij mozilla.
Dit omdat ik vaak zie dat mensen mozilla en mozilla firebird doorelkaar halen of voor het gemak samen noemen
Ze hebben ergens gelijk; het verschil tussen Mozilla en Mozilla Firebird is enkel de UI. De onderliggende technologie (gecko, necko, libpr0n, js, ...) is identiek bij Mozilla en Firebird.
Als je echter de laatste nightly's van Firebird(Mozilla Browser) dan heb je de laatste gecko engine waarn de bug gesolved is.

De nightly's zijn hier te vinden:
ftp://ftp.mozilla.org/pub/firebird/nightly/latest-trunk/
Ik gebruik de nieuwste nightly (Mozilla/5.0 (Windows; U; Windows NT 5.0; en-US; rv:1.4b) Gecko/20030608 Mozilla Firebird/0.6), JavaScript mag bij mij (nu) ongevraagd windows openen, maar ik ben nog steeds vulnerable.
De exploit heeft deze keer geen betrekking op Microsoft's Internet Explorer.
Als dit andersom zou zijn wordt er volop gezeken op IE, nu is het andersom dus gaan we nu met z'n allen op Opera, Mozilla en Netscape zeuren? Nee, anders zou het wel weer anti-M$ worden...

Toch blij met IE :+
Ik denk dat IE deze bug niet heeft omdat MS natuurlijk zijn eigen implementatie van Java heeft geimplementeerd, en niet de normale, SUN versie :(
Alleen heb je daar dus ongelijk in. Ook als je ipv. de microsoft VM de sun VM installeerd, kent IE dit 'gat' niet.

Zo zie je maar weer, ook andere fabrikanten maken fouten..
Maar wat is nou eigenlijk het probleem van deze bug, maw wat kan je ermee?
Het probleem zit ook in IE als je daarin Sun's Java VM gebruikt.

Voor de duidelijkheid: misschien niet dezelfde exploit, maar de bug zit in de Java applet libraries, wat betekent dat het zeker ook in MSIE problemen kan geven.

edit:

Blijkbaar heb ik 't over een andere bug, die *wel* recent en *wel* echt is...

Gelukkig gebruik ik securityfocus zelf niet, welke idioot laat daar nu bugs van maanden oud op releasen alsof ze nieuw zijn? :r

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True