Kritieke bug in Firefox

Veiligheidsexpert Tom Ferris heeft een kritieke bug gevonden in Mozilla Firefox en de Mozilla Suite. Het probleem is van toepassing op alle huidige versies van de webbrowser, inclusief de eerste beta van Firefox 1.5. Tom Ferris heeft op 6 september de Mozilla-organisatie hierover ingelicht, om twee dagen daarna het nieuws alsnog publiekelijk bekend te maken. De als zeer kritiek bestempelde bug maakt een aanval door middel van een buffer overflow mogelijk. Hierdoor kan een website willekeurige code uitvoeren op de computer waarmee de internetpagina wordt bezocht. De oorzaak van het probleem ligt in de ondersteuning voor International Domain Names, oftewel IDN. IDN maakt het mogelijk om domeinnamen te voorzien van taalspecifieke karakters. De huidige kritieke bug is niet de eerste die gebruik maak van Mozilla's IDN-ondersteuning. In februari dit jaar bleek dat er spoofing-aanvallen konden worden uitgevoerd via de ondersteuning voor speciale domeinnamen.

Firefox-logo Sinds 9 september biedt Mozilla op de website een oplossing voor het probleem. Gebruikers kunnen zowel handmatig als via de installatie van een update de ondersteuning voor IDN uitschakelen. Tom Ferris zelf is hier verre van gelukkig mee. Volgens hem is dit slechts een tijdelijke oplossing en kost het te veel moeite om gebruikers over te halen om een update te installeren of handmatig hun configuratie aan te passen. De Mozilla-organisatie heeft gemeld dat een veilige ondersteuning voor IDN vanaf de tweede beta van Firefox 1.5 aanwezig zal zijn.

Reacties (58)

Verwijderd 12 september 2005 17:00

Even op onderstaande link klikken, na install Firefox restarten en in 'About' box controleren dat er in de user-agent string staat 'NoIDN'. Klaar ben je.
http://ftp.mozilla.org/pu.../1.0.6/patches/307259.xpi

JozyDaPozy 12 september 2005 16:58

Ik begrijp niet waarom Firefox niet een functie heeft waardoor de patch die het oplost niet gewoon direct wordt geinstalleerd zonder tussenkomst van de gebruiker. Dat zou veel gevaarlijke situaties voorkomen.

Verwijderd @JozyDaPozy • 12 september 2005 17:02

omdat het dan een kwestie van tijd is totdat virussen of andere ongein van dezelfde mogelijkheid gebruik maken.

woekele @JozyDaPozy • 12 september 2005 18:59

In 1.5 kunnen inderdaad updates worden geinstalleerd zonder Firefox helemaal opnieuw te moeten installeren.

sergefonville @JozyDaPozy • 12 september 2005 17:03

Maar dan wel in de vorm van een functie die aan en uit te zetten is

El_ByteMaster @JozyDaPozy • 12 september 2005 17:05

...zolang je dat maar handmatig uit kan zetten en er een warning only is. Zoals nu al de 'new updates available' pop-up maar dan een rood-gekleurde en met hoofdletters.

Ik vraag me trouwens af of het mogelijk is om bepaalde dns servers te poison'en zodat FF gebruikers onbewust "updates" vanaf een fake server gaan downloaden, zeker als dit blind gaat gebeuren.

TGEN @El_ByteMaster • 12 september 2005 17:36

Afaik heeft FireFox een ingebouwd SSL certificaat die hij met het certificaat van de updates server vergelijkt.

k7of9 @JozyDaPozy • 12 september 2005 19:09

Bovendien, in 1.5 beta is het updatesysteem geintroduceerd. Wanneer er een update of patch beschikbaar is wordt dit gemeld aan de gebruiker en het enige wat vervolgens gedaan hoeft te worden is op een knopje te klikken en de browser te herstarten. Als dat al teveel moeite is...

kidde @JozyDaPozy • 12 september 2005 19:16

Daar heb je de linux pakketmanagers voor! En die patchen niet alleen firefox, maar al je kwetsbare software, als je ze goed hebt ingesteld.

Oester83 12 september 2005 17:12

quote uit link in artikel:

"The problem has to do with the way the Firefox and Mozilla browsers handle International Domain Names, or IDNs, said Mike Schroepfer, director of engineering at Mozilla. IDNs are domain names that use local language characters. The fix disables support for such Web addresses, he said."

heb wat gegoogled maar niets gevonden ...
Wat doet dit dan juist ? Wat wordt er nu eigenlijk uitgeschakeld?

dank

The_DoubleU @Oester83 • 12 september 2005 17:21

IDN is een nieuwe manier om met Domein name aan te geven.
Met IDN kan je non-ASCII characters gebruiken of een compleet andere taal zoals Arabish. Je kan bijvoorbeeld umlauts gebruiken.
www.ümlaut.de is dan een ander address dan www.umlaut.de

Door in je about:config network.enableIDN op False tezetten schakel je dit uit.
Je zult hier weinig van merken om dit nog maar weinig servers dit gebruiken.

XiQ @The_DoubleU • 13 september 2005 00:26

En je kan het testen door bijvoorbeeld www.münchen.de in te tikken. Deze link werkt niet met IDN uitgeschakeld, IDN wordt in Duitsland dus al gebruikt.

MIster X @The_DoubleU • 13 september 2005 10:04

Uit het lijstje DNS registries known to have adopted IDNA concludeer ik dat IDN nog niet ondersteund wordt voor .com en .nl.

twabi2 12 september 2005 16:55

Enkele artikels hieronder, gisteren nog, lees ik dit:

Ross is van mening dat ingewikkelde software gemaakt wordt door luie programmeurs die de complexiteit van hun programma niet willen inzien en de problemen vervolgens afschuiven op hun gebruikers. Alle internetbrowsers kennen exploits, dat is inherent aan netwerksoftware. Volgens Ross draait het daarbij om de vraag hoe lang het duurt om een patch te leveren. En laat dat nu juist een punt zijn waarop Firefox uitblinkt, zegt Ross.

Leuk dat ze het bevestigen

Ik vind dat ze hier net doen waarmee ze zo graag uitpakken het niet te doen... Jammer, erg jammer

Tees @twabi2 • 12 september 2005 17:02

Tsja...als ze niet direct een oplossing voor handen hebben om het probleem te fixen is het beter om de desbetreffende functie dan maar (tijdelijk) uit te schakelen.
Mijns inziens doet Firefox juist wel het goede (ook volgens Ross) door in dusdanig korte tijd een 'patch' te leveren.

Wim-Bart @twabi2 • 13 september 2005 00:01

Lekker snel die patch.... Dan toch maar een paar dagen wachten op een IE patch..... Komt misschien wel laat maar komt wel :-)

Leuk ook om te zien dat er wordt geschermd met het feit dat er een bedrijf is in Redmond dat vergeet om oude versies te updaten omdat het commercieel niet interessant zou zijn. Blijkt dat een vuurvos ook opeens last krijgt van dat gedrag. Wacht maar op een nieuwe versie........

Bwahhhhhh

Dragunov 12 september 2005 16:54

is het niet firefox 1.06?

franssie @Dragunov • 12 september 2005 16:56

1.0.6 heeft de bug (huidige laatste versie)
Versie 1.5(.0) beta 1 heeft 'm ook nog maar 1.5 beta twee niet meer.
Verwarrend al die cijfers. Dus misschien 1.0.7 zonder bug (als die nog komt?)

Verwijderd @franssie • 12 september 2005 18:26

Als je het mij vraagt is het geen bug in Firefox, maar een bug in IDN!

Alle moderne browsers die de optie op enabled hebben zijn kwetsbaar.
Dus ....

DigiK-oz @Verwijderd • 13 september 2005 19:08

Je bedoelt dat een buffer-overflow in IDN's design zit?

IDN is volgens mij alleen een specificatie, buffer-overflow lijkt me een probleem met de implementatie ervan

FiscBiker @franssie • 13 september 2005 00:09

Niet om te trollen of zo (maar wel om te pochen):

Mijn FreeBSD ports-versie werd op 11 september bijgewerkt met een patch, dus mijn huidige laatste beschikbare versie is gewoon veilig!

freggy 12 september 2005 17:03

Zoals je kan zien op https://bugzilla.mozilla.org/show_bug.cgi?id=307259 , is deze bug inmiddels ook in de broncode gefixt, zodat een workaround niet nodig zal zijn. Nieuwe versies van Firefox met deze patch geïntegreerd, zullen er zeer spoeding aankomen.

Als men beweert dat Firefox veiliger is dan IE, dan gaat het niet om het feit dat er geen lekken ontdekt worden (dat is nu eenmaal onmogelijk, jammer genoeg), maar dan gaat het om de snelheid waarmee die opgelost worden. Waar dat bij IE vaak over ettelijke weken gaat, is het bij Firefox eerder iets in de grootte-orde van een aantal dagen.

sopsop @freggy • 12 september 2005 17:43

Die link die je geeft bij "ettelijke weken". Dat is nou ook niet echt te controleren, is het wel. Ik klik er een paar aan, en het zijn gewoon allemaal exact dezelfde omschrijvingen. Als ze nou refereren naar een bron die een exacte omschrijving geeft... En ook wat meer info geven over dingen als het OS waar het om gaat, dus niet "Windows (Various versions to be determined)". Dat had die site in die 107 days overdue ook wel uit kunnen vinden, nietwaar?

Dat MS wel eens een steekje laat vallen bij kritischepatches staat buiten kijf. Dat wij kunnen zien dat het al in de broncode van FF is aangepast wil natuurlijk niet zeggen dat het al releasable is. Dat moet nog getest worden, zal bij MS niet anders gaan. Vooralsnog ziet het er naar uit dat deze patch zal moeten wachten op de tweede beta van 1.5.

Verwijderd 12 september 2005 17:55

Geldt deze bug ook voor mensen met een AMD64 met NX bit ingeschakeld? Dat zorgt er toch ook voor dat er geen code meer wordt uitgevoerd na een buffer overflow...

arjankoole @Verwijderd • 13 september 2005 07:36

NX is leuk, maar dan moet de software het ook ondersteunen, en de specifieke geheugendelen die het gebruikt aanmerken als 'Non Executable'. In de praktijk zal je zien dat dit nog vrij weinig ondersteund wordt.

In de toekomst kun je hier wel e.e.a. mee voorkomen, maar het meerendeel van de CPU's op het veld kan geen NX op 't moment.

Fireb@ll 12 september 2005 18:58

WAT!!! Schande. Een kritieke fout gewoon niet melden, en vervolgens met zo'n halfbakken patch komen. Zou Microsoft es moeten doen, dan hadden hier binnen 10 minuten zo'n 100 reacties gestaan. Maar dit is FireFox he, dus dan is dat allemaal anders.

Ik moet Chris wel gelijk geven. Als er van MS zoiets uit gebeurt dan is er meteen erg veel kritiek, gebeurt dit een andere "kleinere" software leverancier dan zegt men, dat kan gebeuren.
Ik ben echt niet voor MS maar het valt me de laatste tijd heel erg op dat men hier behoorlijk pro FF en anti MS is.

Arorax @Fireb@ll • 12 september 2005 23:50

Er is nog steeds een groot verschil in het aantal dagen dat FF er over doet en het aantal dagen dat MS er over doet om patches dan wel work-arounds te releasen.

Ik ben blij dat dit hier gemeld is, binnen 30s had ik mijn config aangepast. Dat niet-tweakers er meer moeite mee hebben wil ik wel geloven maar daar zijn wij toch voor

Whollabilla @Arorax • 13 september 2005 00:07

Maar dan kan je ook niet meer gebruik maken van de goede dingen van IDN (niet dat ik ooit een URL met een ü erin ofzo heb gezien, maarja), een patch is toch ook wel het makkelijkst voor veel mensen...

kidde @Fireb@ll • 12 september 2005 19:23

Nou, hier komt de 1e van de 100:
Tom Ferris vertelde nl ook:

Well, looks like ive found a bit of an issue within IE 6.0 on Windows XP SP2 fully patched. I have reported this to Microsoft on August 14th, and I think they are working on it. Anyway, I am still researching this one. The way things are looking, I believe this one is exploitable.

Das al bijna 30 dagen geleden, en nog geen patch! Schande!

Verwijderd @kidde • 12 september 2005 21:44

Logisch dat dat al 30 dagen geleden is, Microsoft brengt zijn patches gewoonlijk maandelijks uit (betere planningen voor enterprises)

Fireshade @Verwijderd • 13 september 2005 11:54

Microsoft brengt zijn patches gewoonlijk maandelijks uit (betere planningen voor enterprises)

wat is dat nou voor onzin.
dus als MS 1x per jaar patches zou uitbrengen, dan zou het nog makkelijker voor de enterprises zijn om dat in te plannen.
de mate van uitbrengen van patches staat nog altijd gewoon los van de patchplanning van enterprises.

PatMan @Fireb@ll • 12 september 2005 20:25

Microsoft heeft laten zien beveiligingsproblemen (die inherent aan netwerkprodukten zoals browsers zijn) niet al te serieus te nemen.

Kijk bijvoorbeeld eens op Secunia naar de lijst met problemen in IE, bijvoorbeeld naar de spoofing vulnerabilities die al sinds eind 2004 bekend zijn, maar nog altijd niet gepatcht.

Firefox heeft wat betreft het oplossen van de problemen nog altijd een prima track record en het is dus ook terecht dat mensen erg kritisch tov MS zijn en Firefox wat meer ruimte voor fouten toestaan.

WoBBeL

12 september 2005 17:11

1.5 Beta 1 draai ik, maar ik kan dus nérgens een Beta 2 vinden.

Zelfs niet bij Nightly Builds

franssie @WoBBeL • 12 september 2005 17:13

"De Mozilla-organisatie heeft gemeld dat een veilige ondersteuning voor IDN vanaf de tweede beta van Firefox 1.5 aanwezig zal zijn" ... moet nog komen inderdaad

WoBBeL

@franssie • 12 september 2005 17:14

Ok, dan zei ik niks.

Ik dacht dat Beta 2 al uit was gekomen.

edie 12 september 2005 17:41

Zo kun je natuurlijk ook een bug oplossen: gewoon de feature uitschakelen

nero355 @edie • 12 september 2005 17:49

Je bent niet bekend met "It's not a bug, it's a feature" merk ik ??

crisp Senior Developer @edie • 12 september 2005 18:11

Ik kan me gevallen herinneren waarbij Microsoft hetzelfde gedaan heeft in IE

aval0ne @crisp • 13 september 2005 11:49

En daarom is het toegestaan dat FF het ook doet? Wat een kromme redenering. Een browser die zicht voordoet als veilig doet dit niet.

Verwijderd @crisp • 12 september 2005 18:57

Noem er eens één

crisp Senior Developer @Verwijderd • 12 september 2005 23:58

Het gevalletje http://trustedsite.com[heleboel whitespace]@fakesite.com; sindsdien is HTTP authenticatie in de URL niet meer mogelijk zonder registry-hack...

edie @crisp • 12 september 2005 18:41

ik wou er nou net niet bijzetten:
(het lijkt IE wel...), want dan wordt ik weer als troll oid gemod

_JGC_ @edie • 13 september 2005 00:00

Ach, valt mee, IE heeft deze feature niet eens

Destijds waren er problemen met IDN op zich, kon je het ook uitzetten in het geval je het niet vertrouwde. Toen kwam echter de bug aan het licht dat je het niet uit kon zetten (1.0.3 had die bug)

Op dit item kan niet meer gereageerd worden.

Kritieke bug in Firefox

Lees meer

Reacties (58)

Sorteer op:

Weergave: