Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 51 reacties
Bron: TechWeb

Afgelopen dinsdag is een exploit gepubliceerd die gebruik maakt van een bug in zowel de Linux- als de Mac OS X-versie van Firefox 1.5. De bug is reeds gepatcht in versie 1.5.0.1 van de browser. Hoewel de Windows-versie op dit moment nog veilig is voor de kwaadaardige code, zal ook voor dit platform waarschijnlijk op korte termijn een exploit verschijnen. TechWeb bericht dat code die van de bug gebruikmaakt gepubliceerd is op de Metasploit Project site, een website die regelmatig exploit-modules uitgeeft voor zijn Framework-tool. De exploit bewerkt Firefox' geheugen en hackers kunnen vervolgens hun eigen programma's starten om de computer onder hun controle te krijgen. Gebruikers wordt aangeraden hun Firefox 1.5-browser zo spoedig mogelijk te updaten.

Firefox 1.5 logoGeluk voor sommige gebruikers is dat de exploit bijna een gigabyte geheugen nodig heeft. Hierdoor zal de code op sommige systemen slecht of niet functioneren. Mozilla classificeert de bug sinds het vrijgeven van de code als 'critical' in plaats van 'moderate'. Volgens Mozilla-criticus Aviv Raff probeert Mozilla het gevaar te bagatelliseren. Mozilla noemt memory-corruption bugs pas kritiek als er daadwerkelijk exploitcode voor een bug in omloop is, aldus Raff. De criticus vindt dat de bug gelijk een kritieke status had moeten krijgen, niet pas nadat er een exploit voor verschenen was. Mozilla gaf te kennen dat de bug is ge´ntroduceerd bij de werkzaamheden voor versie 1.5. Eerdere versies van de browser zijn dus niet kwetsbaar. Versie 1.5.0.1 kan via de meuktracker worden gedownload.

Moderatie-faq Wijzig weergave

Reacties (51)

Waarom worden bugs gepost die reeds zijn opgelost :?

Ieder stuk software bevat bugs en ik ben van mening dat ze pas duidelijk op nieuwssites moeten komen als er nog geen oplossing voor is. Als in de laatste versie van de software het gewoon is opgelost, wat is dan het probleem?

Zeker bij firefox 1.5 die automatisch geupdate zou moeten worden.
Die automatische update werkt hier niet. :(

En kritieke bugs moeten altijd openbaar gemaakt worden, zeker als er een patch voor is. Dan wordt er misschien wel gepatched. Als men niets hoort weet men tenslotte gewoon van niets.
@Pietje Puk:
Waarschijnlijk heb je een beta van Firefox 1.5 gebruikt voordat je de final ging gebruiken. Ergens op de site van Mozilla staat dat de auto-upgrade dan is uitgeschakeld. Die is met een kleine aanpassing (ik dacht in about:config) weer te enablen.
Omdat er nu een exploit voor beschikbaar is. Mensen moeten dan snel de update installeren en velen doen dat pas als ze ook daadwerkelijk gevaar lopen.
Verschillende belangrijke wormen maakten ook gebruik van gepatchede bugs in windows/explorer .... dus de vraag of een bug gepatched is, is geen reden om aan te nemen dat hij geen schade aan zou kunnen richten ....

Ik denk echter wel dat deze bug weinig invloed zal hebben, omdat het wel behoorlijk afhankelijk is van ÚÚn specifieke versie en de versie's van firefox elkaar snel opvolgen en veel gebruikers ook vaker zullen updaten of gewoon verschillende versies draaien en het dus een minder risico is als deze exploit zich richt op een klein deel van de hele doelgroep
Waarom worden bugs gepost die reeds zijn opgelost :?
Ik ben anders wel blij met deze nieuwsposting. Ik zat nog op Firefox 1.07 en werd er zo aan herinnerd dat ik daar nog iets aan moest doen :+
die bug zat in versie 1.5 ;-) voorgaande versies (1.07 included) hebben er volgens het artikel geen last van
Eventjes gecheckt, maar het bij mij zelden gebruikte firefox was al bij versie 1.5.0.1. Na het lezen van de Symantec's website werd me duidelijk dat alleen de Linux en de Mac osx versies gepatcht zijn, de windows uitvoering staat nog open. De kop boven dit artikel is dus niet helemaal compleet en kan windows gebruikers een vals gevoel van veiligheid geven.
Een betere kop zou zijn "exploit voor Linux en Mac OS X gepatcht, windows volgt binnenkort."
Lekker is dat. Net nu ik gisteravond met Automatix Firefox 1.5. ge´nstalleerd heb. Weet iemand toevallig of er vandaag al een update voor Ubuntu is uitgekomen?
Als je vanuit de terminal via "sudo firefox" de browser opent, kun je vanuit het help-menu gewoon kiezen voor "check for updates".
Maak een FF usert aan, chown je FF naar die FF usert. en zet FF SUID FF. Als je dan je ~/.ff even chowned naar de FF usert kan niemand buiten je ff dir :P.

Zo blijft je ~ verder veilig.
Automatix updated to version 5.4.1
New features in version 5.4.1 :
a) Automatix will now give the user the option to restore his/her original sources.list after finishing all installations (if it changes the sources.list at the beginning).
b) Firefox 1.5.0.1 installation added
c) Installation of latest version of amule from cvs
d) kde 3.5.1 repositories added
e) installation of dcpp removed
klik
Geluk voor sommige gebruikers is dat de exploit bijna een gigabyte geheugen nodig heeft. Hierdoor zal de code op sommige systemen slecht of niet functioneren.
Volgens mij hebben de meeste systemen tegenwoordig nog max 512 mB geheugen aan boord. Meer dan een gieg zie je over het algemeen niet bij huis-tuin-en-keuken-gebruikers.
Je hebt nog steeds je swap space. (virtueel geheugen)
Geheugen != RAM chips.

Geheugen is incluis je virtual memory - en daar heb je vaak best veel van. De standaard "next-next-finish" install van windows zal op je 512MB systeem zorgen voor een swapfile van rond de 700MB, zodat je totaal al meer dan 1 GB beschikbaar zult hebben.
Ik lees dit bericht en controleer even welke firefox er op staat: 1.5.0.1, daterend van 12 november. Lijkt dus een beetje op oude koeien uit de sloot halen?

Verder lijkt het mij dat je toch wel iets merkt als er meer dan 1 GB volloopt. En wat gebeurt er na die 1 GB? systeemcrash, schijf gewist? Zo niet, dan is het weer eens overdrijven of publiciteit opzoeken van deze of gene.

@4real: Ook OSX benodigd tenminste een wachtwoord wil je enge dingen doen.

@Mei/Stainlessteel: Vreemd. Alle normale data is echt 12-11-2005 van 1.5.0.1. Met pakketinhoud zie ik inderdaad onderdelen op 2 februari staan. Dus waarschijnlijk automatische update wel netjes uitgevoerd. :)
FF 1.5.0.1 dateert van 1 februari dit jaar, jij zal 1.5 bedoelen ;)

bron
Fx 1.5.0.1 dateert van 11 januari 2006. Deze build is toen RC geworden en op 1 februari beschikbaar gesteld als final.

Dat kan je gewoon zien in 'Help > About Mozilla Firefox'.

Dus als je timestamp 20060111 is, dan zul je geen last van deze bug hebbem.
En is gewoon ook beschikbaar voor (het fantaastische) Windows, edit: wat het artikel niet zo duidelijk aangeeft.
dus het is niet altijd goed als je 2gig geheugen hebt :Y)
Help->Check for updates gaat wat sneller dan de meuktracker :) Zo gepiept.

Onder Linux moet dat trouwens wel als root (behalve als FF in je homedir staat natuurlijk).
De exploit bewerkt Firefox' geheugen en hackers kunnen vervolgens hun eigen programma's starten om de computer onder hun controle te krijgen.
Euh, niet in linux in ieder geval... zolang de gebruiker geen root is, zal je niet echt veel onder controle gaan krijgen :P Voor OSX zal ook wel iets vergelijkbaars gelden gok ik zo.
Over posten nadat een bug gefixt is,

Vind ik juist een voordeel,
indien dit voortijd gebeurt zullen er vast wel luie hackertjes zijn die dan juist een exploit gaan proberen te schrijven, aangezien ze het lek dan al kennen. Als ze eerst een fout moeten zoeken is dat veel meer werk.

Dit lijkt me dus veiliger :)
Bij mij al lang automatisch geupdate.

Hierboven zag ik iets over wachten op packages van distros en root permissies? Ik heb gewoon de installer van FF gebruikt, en die installeert prima in userspace. Ik kan me niet goed voorstellen dat er distros zijn waarbij dat niet werkt...
En dan nog, ik kan me haast niet voorstellen dat distro's zulke bugs er lang in zullen laten zitten.

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True