Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 72 reacties
Bron: Secunia

Firefox-patchSecunia heeft een tweede lek in de populaire browser Firefox gepubliceerd, dat echter met versie 1.0.7 al opgelost wordt. Deze versie werd eerder al aangekondigd en werd gisteren gelanceerd om een oplossing te bieden voor het probleem met betrekking tot de 'International Domain Names (IDN)'-ondersteuning. Het nieuwe lek wordt als 'extreem kritiek' bestempeld en kan ervoor zorgen dat een hacker op afstand toegang krijgt tot het kwetsbare systeem. De oorzaak van het lek is te vinden in een shell script dat gebruikt wordt om Firefox op te starten en waarin het, door een foute afhandeling, mogelijk is commando's te laten uitvoeren door deze mee te geven via de url. Mogelijk misbruik van dit lek kan gebeuren door de gebruiker een link te laten volgen in een externe applicatie die gebruikmaakt van Firefox als default browser, zoals de mailclient Evolution. Enkel Linux-gebruikers of gebruikers van op Unix-gebaseerde systemen zijn kwetsbaar. Een update naar versie 1.0.7 kan het probleem verhelpen.

Moderatie-faq Wijzig weergave

Reacties (72)

De meeste Linuxgebruikers werken standaard niet onder root, waardoor misbruik van dit lek weinig gevolgen kan hebben. Standaardgebruikers hebben te weinig rechten om echt schade aan te richten in het algemeen.
Zij die echter alles onder het root account doen: leer dit af! Van zo'n gebruiker is het systeem wel over te nemen.
* 786562 Cyphax
Misschien kan mijn systeem niet worden overgenomen door zo'n bug, maar ik ben als standaardgebruiker toch niet heel happy als het al mijn data gewist heeft :)
Ja, dacht ik ook, dus bouwde ik een 3e account, de 'browse-only-account', die niet in kan loggen in een shell, en geen lees/schrijfpermissies tot de normale user-account bestanden heeft. Zodoende zijn bijv. je mp3's en office-bestanden volledig veilig voor bugs in je browser, althans, zolang er geen ernstige bug in Linux of sudo zit.

Dat zuigt zwaar helaas, omdat je iedere keer met rechtenproblemen zit: X-rechten, leesrechten van je normale user-account-bestanden, mplayer heeft sneller kuren (wederom permissies), je moet zelf een script en elkaar knutselen met sudo en een hoop environment variabelen wat al snel niet meer werkt, het geeft problemen om Firefox vanuit andere programma's een bestand te laten openen (zoals als Amsn onder je normale user-account de opdracht geeft om naar je hotmail-inbox te gaan), je kan xmms niet meer vanuit Firefox bedienen (want xmms draait als normale user-account), met je mailprogramma samenwerken wordt weer lastiger door permissieproblemen enzovoort.
chrooten is echter ook weer zwaar irritant, wegens updaten en plugins: je moet alle plugins (mplayer, openoffice, xmms enz.) EN alle libraries die die dingen gebruiken, naar je chroot-dir kopieren, en als je normale OOo geupdate wordt, dan je Firefox-chroot-OOo ook.

Jammer dat hier geen simpele oplossing voor is (of ben ik zo dom? Laat het me dan weten aub!).
Zorg dat die 3de gebruiker wel op de shell kan inloggen en start vandaar uit een 2de X-sessie. Nu kan je switchen tussen de 1ste en 2de (en 3de, 4de...enz) met ctrl+alt+F5*-F12* meen ik.

*distro afhankelijk.

Je kan misschien ook gewoon firefox in een chroot uitvoeren, waardoor toegang tot bestanden buiten die chroot simpelweg geweigerd worden.

Misschien heb je er iets aan, misschien niet :P
Helemaal mee eens! Wat mij betreft is dit ook de grote fout
van MS in windows. Het is zo'n gedoe om te wisselen van
een gewone gebruiker naar admin dat de meeste gebruikers
standaard als admin gaan werken. En dan krijg je de
problemen. Als ze dat zouden verbeteren zou het al een
hele vooruitgang zijn wat de veiligheid in windows betreft.
Veel programma's hebben Administrator rechten nodig om te kunnen installeren. Als je dus een beetje hobbyist bent heb je een admin account nodig onder Windows. Maar voor op kantoor is het inderdaad een goed idee om gebruikers niet meer rechten te geven dan ze nodig hebben om hun productiviteitsprogramma's te gebruiken.
Windows Vista dus :Y)
Is het niet een beetje voorbarig om er nu al vanuit te gaan dat dit zal zijn opgelost? :S (En mss nog wel belangrijker, niet wordt vervangen door een andere bug)
Is het niet een beetje voorbarig om er nu al vanuit te gaan dat dit zal zijn opgelost?
Nee, dat is niet voorbarig. Microsoft communiceert veel en duidelijk over dit onderwep, onder andere over LUA. Dit zit al in Beta 1 en is 1 van de pijlers van Windows Vista.
Punt is natuurlijk dat de Echte Inbrekers (de pro's) lek - op - lek stapelen. Met deze kan je een code lokaal draaien met user permissie (zo te zien). Dat gebruiken ze dan weer voor een andere exploit waarmee ze root krijgen.

Dus ja, het is niet erg, en nee, het is wel erg.

En, zoals Gerco al terecht opmerkte, rm-rf ~ is wel lastig.
Hoe vaak gebeurd het nou eigenlijk dat iemand ook daadwerkelijk geconfronteerd wordt met een "lek" in een browser?
Het wordt altijd breed uitgemeten in de media alszijnde een kritieke bug, maar ik mis altijd de feedback van gebruikers die daadwerkelijk daar tegen aan lopen...
Kom ik dan nooit op de "verkeerde" sites of zie ik dat totaal verkeerd??
Veel spy- of adware maakt gebruik van dergelijke 'lekken' om zichzelf op een systeem te installeren.
Dit soort lekken zijn vaak nog niet uit in het wild, maar wel aangetoond door middel van een proof of concepts. De classificatie wordt gebaseerd op het gemak waarmee dit misbruikt kan worden en de potentie om schade te berokkenen.
Als iemand misbruikt maakt van het lek, gaat ie dat niet van de daken schreeuwen en zal een gebruiker het dus ook niet merken. Met een beetje virus is dat ook het geval, dan kan het namelijk in principe tot in lengte van dagen zijn kwalijke werk uitvoeren...
Ik vermoed omdat het komt omdat je al op de hoogte bent. De kans dat je via zo'n lek "aangepakt" wordt lijkt mij overigens zeer klein, maar wel aanwezig. Stel je bent op de hoogte van zo'n lek, dan heb je het denk wel door wanneer deze wordt uitgebuit.

Ik heb overigens nog nooit iemand horen praten over dat ie door zo'n lek werd uitgebuit, wat misschien ook kan verklaren dat iemand niet goed op de hoogte is van de werking van pc's.
tis niet hoesnel je een patch uitbrengt maar hoe snel de gebruiker de boel patched.
Dat is wat kort door de bocht. Zonder patch valt er niks te patchen, en in die zin hebben de ontwikkelaars m.i. goed werk gedaan.
de ontwikkelaars hebben nu dus hun werk verricht, het balletje ligt nu weer bij de gebruikers. niet patchen houd dus in dat het mogelijk misbruikt gaat worden. wel patchen kan (vooral bij bedrijven) andere problemen met zich meebrengen met andere software.

het blijft altijd moeilijk kiezen voor de gebruiker
kijk, da's snel, gepatched voordat het uitkwam...
Meestal word een security bug eerst gemeld bij de makens voordat het openbaar gemaakt wordt. Vaak zit daar zeker een maand tussen.
Het lek is op 06-09-2005 om 02:06 gemeld bij Mozilla. Eerste patch kwam uit op 06-09-2005 08:38. Hoewel deze niet goedgekeurd werd. De eerste patch die goedgekeurd werd kwam op 12-09-2005 om 14:28. 6 dagen heeft dit lek dan opengestaan. Bron.

Minder dan een maand dus.
Zo snel was de patch ook weer niet. Het lek was al bekend op dinsdag 8 februari 2005. Zie link: link

Voor mij is dat dus 7 maanden en 14 dagen.
Het lek dat jij noemt is een heel ander lek dan waar het hier om draait, ook al gaat het in beide gevallen om problemen met betrekking tot IDN.

-edit: Het lek dat jij opnoemt, was al in versie 1.0.1 opgelost: http://secunia.com/advisories/14163/
Een update naar versie 1.0.7 kan het probleem verhelpen
Kan??!!
Simpel toch, alleen Unix en Linux systemen met Firefox zijn kwetsbaar.
Vandaar het woord KAN. In Windows ben je niet kwetsbaar.
Dus als je in jouw ogen windows draait dat het probleem niet heeft, en je firefox patched naar 1.07 dan KAN je het probleem oplossen :? :? :? :?
Beetje slechte zin idd, betekent denk ik iets van 'wat niet kapot is kan niet gerepareerd worden' ofzo
Ik heb me speciaal laten registren om toch is commentaar te geven op een veel voorkomend gegeven hier op tweakers.net.

Het lijkt altijd wel dat je alleen een goede ICT'er bent als je tegen Microsoft bent, tegen IE, voor Open Source en AMD en ATI in je kast hebt.

Hier stoor ik me dus mateloos aan elke keer.
Een echte ICT'er houd zijn opties open en kijkt elke keer weer en evalueert elke keer weer wat het meest geschikte is voor zijn bedrijf of thuis-situatie.
Dit is mijn mening, dus jullie mogen het er niet mee eens zijn. :7
Offtopic dan maar:
Hier stoor ik me dus mateloos aan elke keer.
Nou, even uitleggen waarom mensen zoals ik ons mateloos aan MS storen:

In 'arme' landen als Honduras, El Salvador, Nicuragua, maar ook in Turkije en Singapore verdwijn je (wettelijk mogelijk) in de cel als je illegaal MS-spulletjes gebruikt (maar ook andere, met name Amerikaanse software).
In Maleisië:
When they (the BSA) started a few years ago, they put up whole page advertisements in the local papers that depict a man with his hands handcuffed behind him in prison garb.
Iemand die bij de US-lokale overheid werkte, vertelde echter:
My local government uses pirated MS software... ...I reported this to the BSA along with all the data of how many licenses we actually have and how many we are using... ...I spent over an hour on the phone with the BSA giving them every single detail they asked for. What was the result of all this you ask? Nothing! (bron)
Dus (de BSA) MS discrimineert arme landen, maar dat durven ze niet in rijke Westerse landen, alleen in arme landen. Dat nog even afgezien van de vaak scheinheilige liefdadigheid van de Gates foundation, die geld geeft in de vorm van Windows-licenties aan Afrika (zodat de Linux-bedreiging daar overwonnen kan worden), en geld geeft aan het liefdadigheidsfonds, dat 'toevallig' is opgericht door de voorzitter in de Amerikaanse senaat van de 'rechtencommissie' (Tom DeLay). Diezelfde Tom DeLay kreeg overigens sommige reiskosten voor bepaalde reisjes via via vergoed van Microsoft (wat tegen de ethische regels van het huis van afgevaardigden is).bron
Het voornoemde is niet nadelig voor ICT'ers, maar niet echt ethisch te noemen.

Dan over Intel en AMD: Ze zijn allebei slecht, omdat ze allebei voor beperking zijn van de gebruiksmogelijkheden van computerchips (DRestrictionM), maar veel belangrijker: ze zijn voorstanders van softwarepatenten, net als MS.
Kortom, zij zorgen ervoor dat programmerende, innoverende ICT'ers, zoals jij allicht, niet eens meer zelf een paar lullige regels code kunnen bedenken zonder mogelijk aangeklaagd te worden door ICT-reuzen als Microsoft, IBM, Sun en noem ze verder maar op.

Verder is MS al twee keer veroordeeld (zowel in de US als in Europa) voor misbruik van hun monopoliepositie, en in Korea gaat mogelijk hetzelfde gebeuren. Ook dit is nadelig voor ICT'ers als jij.

En natuurlijk wordt door MS altijd 'eerst samengewerkt' met kleine ICT-bedrijfjes, dan wordt de samenwerking altijd gestopt, omdat MS altijd niks meer in de innovaties ziet van het kleine bedrijfje, maar even later komt MS wel met de innovaties van het kleine bedrijfje op de markt, en door het veel grotere distributienetwerk van MS maakt het kleine bedrijfje geen kans meer z'n technologie nog te verkopen, MS claimt dat zij het hebben uitgevonden, en als ze aangeklaagd worden door het kleine bedrijfje, wordt het kleine bedrijfe met dure rechtzaken geplet tot ze failliet zijn. Ook niet fijn voor ICT'ers als jij. (Voorbeeld: bron)

Dan kunnen we het nog hebben over certificering, MS-certificering verloopt altijd extra snel (sneller dan nodig is, moet nieuw cert halen zonder dat er veel aan de software verandert is), zodat ze jouw overnieuw zinloos je geld uit je zak kunnen kloppen. Wederom worden ICT'ers als jij genaaid.

Om over de prijs van MS-producten maar te zwijgen, ICT'ers als jij betalen ervoor, en vervolgens wordt het geld op de bankrekening van MS gehamsterd (er staat nu $60 miljard), waar vervolgens bijna niks aan innovatie en verbetering aan besteed wordt. En veilige producten maken die een stuk veiliger zijn dan OpenSource, wat met $60miljard toch wel zou moeten lukken, ho maar, zodat ICT'ers als jij fijn de hele dag bezig zijn met het patchen, installeren van anti-Spyware-zooi en Firewalls.

En meewerken aan standaarden doen ze ook niet echt, zodat ICT'ers als jij fijn iedere keer extra werk moeten doen om dingen op meerdere platformen draaiend te krijgen (als bijvoorbeeld webpagina's), en je fijn ingelockt wordt.

Blij dat ik geen ICT'er ben!
Wat jij zegt is niet waar. Ik proef hier ook regelmatig een pro-microsoft en anti OSS sfeer. Er zijn op dit forum genoeg
MS-junks actief. En wat iedereen het liefst gebruikt moet hij/zij lekker zelf weten :)

Overgens hoor ik bij de Linux ploeg :Y)
Ikzelf heb het niet zo op microsoft-software omdat ik er de weg niet in kan vinden. Maarja, wat wil je ook als je het grootste gedeelte van je tijd met een console werkt? ;)

En waar ik me echt aan stoor is al dat commerciele gedoe rond de M$-software. Licenties, copyrights, peperdure software, etc :r |:( :(
Ikzelf heb het niet zo op microsoft-software omdat ik er de weg niet in kan vinden. Maarja, wat wil je ook als je het grootste gedeelte van je tijd met een console werkt
Misschien je erin verdiepen? Ik doe ook 80% met de console. Maar ja, muis blijft langzamer dan commando's met de hand ingeven. En scripten vanuit de console gaat nu eenmaal makkelijker.
zelfs binnen windows werk je inderdaad ongeveer de helft van de tijd via de console, dus aangeven dat je consolegebaseerd werkt is inderdaad niet echt een argument. het blijft een kwestie van smaak/benodigdheden.

ik heb zelf voor microsoft 'gekozen' omdat ik games speel. zodra dat ook op andere OS breed draait (dus begin alsjeblieft niet over 3 spellen die je kan spelen op een ander OS) ga ik zeker eens kijken wat dat is
Overgens hoor ik bij de Linux ploeg
No kidding. :Y)
Niet tegen microsoft, wel bekritiseer ik het enorm :P maar dat doe ik met me vriendin ook en toch hou ik van haar ;)
.. & you get regularly f*cked over by both ..
Het lijkt altijd wel dat je alleen een goede ICT'er bent als je tegen Microsoft bent, tegen IE, voor Open Source en AMD en ATI in je kast hebt.
Bij de meeste klanten moet ik juist de rommel opruimen gemaakt door Anti MS, Firefox en OpenSource "systeembeheerders".

Voor hun is automatisering meer een hobby dan een bedrijfsondersteunend process.

Bedrijfsautomatisering moet gedreven worden door de Business needs van een bedrijf waarbij IT ondersteunend is en niet zoals (te) vaak voorkomt een proces waarbij het bedrijf maar moet draaien om de IT afdeling heen.

Maar ja, zolang er nog IT-ers zijn welke de gebruikte techniek belangrijker vinden dan de bedrijfsdoelen van het bedrijf waarvoor ze werken kan ik een hele goede boterham verdienen :-)
Doe geen moeite Frank. Het is vechten tegen de bierkaai. :)

Nu even serieus, je hebt natuurlijk helemaal gelijk met je nuancering en in een ideale wereld zou er in iedere discussie zuiver objectief gereageerd worden. Helaas leven we niet in een ideale wereld en zo wist ik zonder het topic te openenen dat er al snel iemand zou zeggen dat dit lek snel gedicht is, wat je van IE niet kunt zeggen. :)

Dat dit bericht helemaal niet over IE gaat doet niet terzake. Het is een soort reflex wat veel techneuten hebben.

Intel -> AMD
Microsoft -> OSS
Windows -> Linux
IE -> Firefox
.NEt -> Java
Ferrarie -> McLaren
Doornbos -> Albers

Nou ja, mijn punt is duidelijk denk ik. :) Overigens zie je hetzelfde verschijnsel, m.i. nog irritanter, op bijvoorbeeld Webwereld.nl. Het hoort er blijkbaar bij.
Ik ben het er wel mee eens :P
De kosten zijn wel de slechtste reden om pro OSS te zijn. Al was MS Office gratis, en OOo closed source zou ik toch OOo prefereren, vanwege de open standaarden.

Microsoft kort je overigens af met MS, de $ staat niet in het alfabet voor zover ik weet.
Ik zie het nut niet helemaal van een apart nieuwsbericht hierover, aangezien bij het changelog in de meuktracker reeds te zien was dat dit probleem was opgelost:
Fix to prevent URLs passed from external programs from being parsed by the shell (Linux only)
* 786562 Woudloper
Het nieuws en de meuktracker hebben vaak een andere gebruikersgroep. Het nieuws wordt bezocht door mensen die op de hoogte willen blijven van wat reilt en zeilt in computerland, terwijl de meuktracker er is om van elke update van een softwarepakket op de hoogte gebracht te worden.

Omdat het hier om een 'extreem kritieke' bug gaat, is het niet verkeerd er wat aandacht aan te besteden in het nieuws, zodat ook mensen die de meuktracker niet actief volgen en elk changelog uitpluizen op de hoogte gebracht worden.
Ik kan enkel gissen maar ik denk dat Secunia Firefox de tijd heeft gegeven om dit lek te patchen net zoals vaak bij MS gebeurd. "Je krijgt x dagen de tijd om dit op te lossen anders posten we deze bug".

Vandaar dat secunia het (toch) post, nadat de bug al gepatched is. Dit geeft Secunia de credits dat ze het ontdekt hebben. Vandaar dat tweakers dit post, om aan te geven dat het om een kritieke bug gaat.

Verder ben ik het met Youri eens; Ik volg niet altijd de meuktracker, maar als Firefox in het nieuws komt ga ik toch meestal wel even lezen!
en kan ervoor zorgen dat een hacker op afstand toegang krijgt tot het kwetsbare systeem.
Dat vind ik een beetje raar dat door een kritieke fout in de browsersoftware toegang verkregen kan worden tot het achterliggende besturingssysteem.
Nou, het is theoretisch (en blijkbaar dus ook praktisch) mogelijk om je computer gedeeltelijk open te zetten door foute user-level code te draaien.
Voorbeeld: Een server draait namelijk ook met limited rechten. Die geeft een buitenstaander toch ook de mogelijkheid om bestanden te veranderen. Je kan precies aangeven welke bestanden veranderd mogen worden.
Dit is ook het geval bij deze bug: je bent controle over je persoonlijke data kwijt. De rest van het systeem is niet besmet.
kon dus ook niet. alleen: als iemand je zo ver kreeg om firefox te starten met op de commando-regel het url wat raar in elkaar zat, dan kon een deel van die url als commando uitgevoerd worden.
hoe krijgt iemand je zo ver? door je bv een mailtje te sturen met die link. als je die dan buiten je browser leest, dan start je mailprogramma de browser op met de url als parameter.
nou weet ik niet precies hoe speciaal geconstrueerd die url dan moest zijn, maar om een commando te bevatten moet het er toch wel enigszins raar en verdacht uitgezien hebben. en als ik het goed begrijp moest het hele commando wat uitgevoerd zou kunnen worden in die url staan. en de output van dat commando komt vervolgens in de adresbalk van je firefox terecht, dus vermoedelijk heb je ook nog eens meteen door dat er iets mis was met de link waar je op klikte (voorbeelden staan in de bug report, te vinden via de pagina van secunia).
niet geheel een stuk opopvallende spyware dus, maar wel een mogelijkheid om onder bepaalde omstandigheden een commando uit te voeren als de user die firefox gebruikt.
Mooi dat het gerepareerd is.
Mogelijk misbruik van dit lek kan gebeuren door de gebruiker een link te laten volgen in een externe applicatie die gebruikmaakt van Firefox als default browser, zoals de mailclient Evolution. Enkel Linux-gebruikers of gebruikers van op Unix-gebaseerde systemen zijn kwetsbaar.
Of ook wel, een erg kleine groep gebruikers?
en die kleine groep gebruikers is ook nog eens alleen kwetsbaar onder bepaalde omstandigheden, nl als je firefox opstart via een link in bv een mailtje, en dan weer niet als je je mail in een webmail leest, want dan draait firefox dus al.
maar hoe dan ook, het was een kwetsbaarheid, dus mooi dat het zo snel is opgelost.
Doen ze daar zo moeilijk over en blijkt alleen in linux gevaarlijk te zijn.. ik wou al bijna gaan patchen, nu ja, nu hoeft dat niet natuurlijk.. kga niet effe mijn plug-ins om zeep zitten helpen..
Met een gewone upgrade blijven je plug-ins en geďnstalleerde extensies gewoon intact hoor.
Nou was ik tot nu toe altijd wel tevreden over de snelheid van patchen bij Mozilla & co. Maar dit heeft toch minimaal 10 dagen geduurd. En meestal was de bug in de donkere gangen van het internet al een paar dagen eerder bekend.

10 dagen is gewoon teveel voor zo'n kritieke bug, het kan een behoorlijke epidemie opleveren.
Het heeft idd een paar dagen geduurt voordat er een definitieve oplossing voor het probleem was. Maar het onderdeel waar het probleem in zat kon gewoon worden uitgeschakeld. Op de site van Firefox stonden twee manieren uitgelegd om IDN uit te schakelen. En deze informatie was volgens mij een dag later al beschikbaar. Dan is het dus ook niet zo erg als het een paar dagen langer duurt om een nieuwe versie uit te brengen, toch??
Ja zo kun je elk probleem wel afdoen. Zal ik maar gewoon alles uitzetten, heb ik ook nooit ergens last van.

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True