Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 58 reacties
Bron: VNUNet

Veiligheidsexpert Tom Ferris heeft een kritieke bug gevonden in Mozilla Firefox en de Mozilla Suite. Het probleem is van toepassing op alle huidige versies van de webbrowser, inclusief de eerste beta van Firefox 1.5. Tom Ferris heeft op 6 september de Mozilla-organisatie hierover ingelicht, om twee dagen daarna het nieuws alsnog publiekelijk bekend te maken. De als zeer kritiek bestempelde bug maakt een aanval door middel van een buffer overflow mogelijk. Hierdoor kan een website willekeurige code uitvoeren op de computer waarmee de internetpagina wordt bezocht. De oorzaak van het probleem ligt in de ondersteuning voor International Domain Names, oftewel IDN. IDN maakt het mogelijk om domeinnamen te voorzien van taalspecifieke karakters. De huidige kritieke bug is niet de eerste die gebruik maak van Mozilla's IDN-ondersteuning. In februari dit jaar bleek dat er spoofing-aanvallen konden worden uitgevoerd via de ondersteuning voor speciale domeinnamen.

Firefox-logoSinds 9 september biedt Mozilla op de website een oplossing voor het probleem. Gebruikers kunnen zowel handmatig als via de installatie van een update de ondersteuning voor IDN uitschakelen. Tom Ferris zelf is hier verre van gelukkig mee. Volgens hem is dit slechts een tijdelijke oplossing en kost het te veel moeite om gebruikers over te halen om een update te installeren of handmatig hun configuratie aan te passen. De Mozilla-organisatie heeft gemeld dat een veilige ondersteuning voor IDN vanaf de tweede beta van Firefox 1.5 aanwezig zal zijn.

Moderatie-faq Wijzig weergave

Reacties (58)

Even op onderstaande link klikken, na install Firefox restarten en in 'About' box controleren dat er in de user-agent string staat 'NoIDN'. Klaar ben je.
http://ftp.mozilla.org/pu.../1.0.6/patches/307259.xpi
Ik begrijp niet waarom Firefox niet een functie heeft waardoor de patch die het oplost niet gewoon direct wordt geinstalleerd zonder tussenkomst van de gebruiker. Dat zou veel gevaarlijke situaties voorkomen.
omdat het dan een kwestie van tijd is totdat virussen of andere ongein van dezelfde mogelijkheid gebruik maken.
In 1.5 kunnen inderdaad updates worden geinstalleerd zonder Firefox helemaal opnieuw te moeten installeren.
Maar dan wel in de vorm van een functie die aan en uit te zetten is
...zolang je dat maar handmatig uit kan zetten en er een warning only is. Zoals nu al de 'new updates available' pop-up maar dan een rood-gekleurde en met hoofdletters.

Ik vraag me trouwens af of het mogelijk is om bepaalde dns servers te poison'en zodat FF gebruikers onbewust "updates" vanaf een fake server gaan downloaden, zeker als dit blind gaat gebeuren.
Afaik heeft FireFox een ingebouwd SSL certificaat die hij met het certificaat van de updates server vergelijkt.
Bovendien, in 1.5 beta is het updatesysteem geintroduceerd. Wanneer er een update of patch beschikbaar is wordt dit gemeld aan de gebruiker en het enige wat vervolgens gedaan hoeft te worden is op een knopje te klikken en de browser te herstarten. Als dat al teveel moeite is...
Daar heb je de linux pakketmanagers voor! En die patchen niet alleen firefox, maar al je kwetsbare software, als je ze goed hebt ingesteld.
quote uit link in artikel:

"The problem has to do with the way the Firefox and Mozilla browsers handle International Domain Names, or IDNs, said Mike Schroepfer, director of engineering at Mozilla. IDNs are domain names that use local language characters. The fix disables support for such Web addresses, he said."

heb wat gegoogled maar niets gevonden ...
Wat doet dit dan juist ? Wat wordt er nu eigenlijk uitgeschakeld?

dank
IDN is een nieuwe manier om met Domein name aan te geven.
Met IDN kan je non-ASCII characters gebruiken of een compleet andere taal zoals Arabish. Je kan bijvoorbeeld umlauts gebruiken.
www.ümlaut.de is dan een ander address dan www.umlaut.de

Door in je about:config network.enableIDN op False tezetten schakel je dit uit.
Je zult hier weinig van merken om dit nog maar weinig servers dit gebruiken.
En je kan het testen door bijvoorbeeld www.münchen.de in te tikken. Deze link werkt niet met IDN uitgeschakeld, IDN wordt in Duitsland dus al gebruikt.
Uit het lijstje DNS registries known to have adopted IDNA concludeer ik dat IDN nog niet ondersteund wordt voor .com en .nl.
Enkele artikels hieronder, gisteren nog, lees ik dit:
Ross is van mening dat ingewikkelde software gemaakt wordt door luie programmeurs die de complexiteit van hun programma niet willen inzien en de problemen vervolgens afschuiven op hun gebruikers. Alle internetbrowsers kennen exploits, dat is inherent aan netwerksoftware. Volgens Ross draait het daarbij om de vraag hoe lang het duurt om een patch te leveren. En laat dat nu juist een punt zijn waarop Firefox uitblinkt, zegt Ross.
Leuk dat ze het bevestigen |:(
Ik vind dat ze hier net doen waarmee ze zo graag uitpakken het niet te doen... Jammer, erg jammer
Tsja...als ze niet direct een oplossing voor handen hebben om het probleem te fixen is het beter om de desbetreffende functie dan maar (tijdelijk) uit te schakelen.
Mijns inziens doet Firefox juist wel het goede (ook volgens Ross) door in dusdanig korte tijd een 'patch' te leveren.
Lekker snel die patch.... Dan toch maar een paar dagen wachten op een IE patch..... Komt misschien wel laat maar komt wel :-)

Leuk ook om te zien dat er wordt geschermd met het feit dat er een bedrijf is in Redmond dat vergeet om oude versies te updaten omdat het commercieel niet interessant zou zijn. Blijkt dat een vuurvos ook opeens last krijgt van dat gedrag. Wacht maar op een nieuwe versie........

Bwahhhhhh
is het niet firefox 1.06?
1.0.6 heeft de bug (huidige laatste versie)
Versie 1.5(.0) beta 1 heeft 'm ook nog maar 1.5 beta twee niet meer.
Verwarrend al die cijfers. Dus misschien 1.0.7 zonder bug (als die nog komt?)
Als je het mij vraagt is het geen bug in Firefox, maar een bug in IDN!

Alle moderne browsers die de optie op enabled hebben zijn kwetsbaar.
Dus ....
Je bedoelt dat een buffer-overflow in IDN's design zit? ;)

IDN is volgens mij alleen een specificatie, buffer-overflow lijkt me een probleem met de implementatie ervan
Niet om te trollen of zo (maar wel om te pochen):

Mijn FreeBSD ports-versie werd op 11 september bijgewerkt met een patch, dus mijn huidige laatste beschikbare versie is gewoon veilig!
Zoals je kan zien op https://bugzilla.mozilla.org/show_bug.cgi?id=307259 , is deze bug inmiddels ook in de broncode gefixt, zodat een workaround niet nodig zal zijn. Nieuwe versies van Firefox met deze patch geďntegreerd, zullen er zeer spoeding aankomen.

Als men beweert dat Firefox veiliger is dan IE, dan gaat het niet om het feit dat er geen lekken ontdekt worden (dat is nu eenmaal onmogelijk, jammer genoeg), maar dan gaat het om de snelheid waarmee die opgelost worden. Waar dat bij IE vaak over ettelijke weken gaat, is het bij Firefox eerder iets in de grootte-orde van een aantal dagen.
Die link die je geeft bij "ettelijke weken". Dat is nou ook niet echt te controleren, is het wel. Ik klik er een paar aan, en het zijn gewoon allemaal exact dezelfde omschrijvingen. Als ze nou refereren naar een bron die een exacte omschrijving geeft... En ook wat meer info geven over dingen als het OS waar het om gaat, dus niet "Windows (Various versions to be determined)". Dat had die site in die 107 days overdue ook wel uit kunnen vinden, nietwaar?

Dat MS wel eens een steekje laat vallen bij kritischepatches staat buiten kijf. Dat wij kunnen zien dat het al in de broncode van FF is aangepast wil natuurlijk niet zeggen dat het al releasable is. Dat moet nog getest worden, zal bij MS niet anders gaan. Vooralsnog ziet het er naar uit dat deze patch zal moeten wachten op de tweede beta van 1.5.
Geldt deze bug ook voor mensen met een AMD64 met NX bit ingeschakeld? Dat zorgt er toch ook voor dat er geen code meer wordt uitgevoerd na een buffer overflow...
NX is leuk, maar dan moet de software het ook ondersteunen, en de specifieke geheugendelen die het gebruikt aanmerken als 'Non Executable'. In de praktijk zal je zien dat dit nog vrij weinig ondersteund wordt.

In de toekomst kun je hier wel e.e.a. mee voorkomen, maar het meerendeel van de CPU's op het veld kan geen NX op 't moment.
WAT!!! Schande. Een kritieke fout gewoon niet melden, en vervolgens met zo'n halfbakken patch komen. Zou Microsoft es moeten doen, dan hadden hier binnen 10 minuten zo'n 100 reacties gestaan. Maar dit is FireFox he, dus dan is dat allemaal anders.
Ik moet Chris wel gelijk geven. Als er van MS zoiets uit gebeurt dan is er meteen erg veel kritiek, gebeurt dit een andere "kleinere" software leverancier dan zegt men, dat kan gebeuren.
Ik ben echt niet voor MS maar het valt me de laatste tijd heel erg op dat men hier behoorlijk pro FF en anti MS is.
Er is nog steeds een groot verschil in het aantal dagen dat FF er over doet en het aantal dagen dat MS er over doet om patches dan wel work-arounds te releasen.

Ik ben blij dat dit hier gemeld is, binnen 30s had ik mijn config aangepast. Dat niet-tweakers er meer moeite mee hebben wil ik wel geloven maar daar zijn wij toch voor ;)
Maar dan kan je ook niet meer gebruik maken van de goede dingen van IDN (niet dat ik ooit een URL met een ü erin ofzo heb gezien, maarja), een patch is toch ook wel het makkelijkst voor veel mensen...
Nou, hier komt de 1e van de 100:
Tom Ferris vertelde nl ook:

Well, looks like ive found a bit of an issue within IE 6.0 on Windows XP SP2 fully patched. I have reported this to Microsoft on August 14th, and I think they are working on it. Anyway, I am still researching this one. The way things are looking, I believe this one is exploitable.

Das al bijna 30 dagen geleden, en nog geen patch! Schande! :)
Logisch dat dat al 30 dagen geleden is, Microsoft brengt zijn patches gewoonlijk maandelijks uit (betere planningen voor enterprises) |:(
Microsoft brengt zijn patches gewoonlijk maandelijks uit (betere planningen voor enterprises)
wat is dat nou voor onzin.
dus als MS 1x per jaar patches zou uitbrengen, dan zou het nog makkelijker voor de enterprises zijn om dat in te plannen.
de mate van uitbrengen van patches staat nog altijd gewoon los van de patchplanning van enterprises.
Microsoft heeft laten zien beveiligingsproblemen (die inherent aan netwerkprodukten zoals browsers zijn) niet al te serieus te nemen.

Kijk bijvoorbeeld eens op Secunia naar de lijst met problemen in IE, bijvoorbeeld naar de spoofing vulnerabilities die al sinds eind 2004 bekend zijn, maar nog altijd niet gepatcht.

Firefox heeft wat betreft het oplossen van de problemen nog altijd een prima track record en het is dus ook terecht dat mensen erg kritisch tov MS zijn en Firefox wat meer ruimte voor fouten toestaan.
1.5 Beta 1 draai ik, maar ik kan dus nérgens een Beta 2 vinden.

Zelfs niet bij Nightly Builds
"De Mozilla-organisatie heeft gemeld dat een veilige ondersteuning voor IDN vanaf de tweede beta van Firefox 1.5 aanwezig zal zijn" ... moet nog komen inderdaad
Ok, dan zei ik niks.

Ik dacht dat Beta 2 al uit was gekomen.
Zo kun je natuurlijk ook een bug oplossen: gewoon de feature uitschakelen |:(
Je bent niet bekend met "It's not a bug, it's a feature" merk ik ?? :+
Ik kan me gevallen herinneren waarbij Microsoft hetzelfde gedaan heeft in IE ;)
En daarom is het toegestaan dat FF het ook doet? Wat een kromme redenering. Een browser die zicht voordoet als veilig doet dit niet.
Noem er eens één }>
Het gevalletje http://trustedsite.com[heleboel whitespace]@fakesite.com; sindsdien is HTTP authenticatie in de URL niet meer mogelijk zonder registry-hack...
ik wou er nou net niet bijzetten:
(het lijkt IE wel...), want dan wordt ik weer als troll oid gemod ;)
Ach, valt mee, IE heeft deze feature niet eens :P

Destijds waren er problemen met IDN op zich, kon je het ook uitzetten in het geval je het niet vertrouwde. Toen kwam echter de bug aan het licht dat je het niet uit kon zetten (1.0.3 had die bug) :P

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True