Hacker neemt claim Firefox-lekken terug

Firefox-logo Mozilla's veiligheidsverantwoordelijke Window Snyder heeft een reactie gepubliceerd op de toespraak van Mischa Spiegelmock op de Toorcon-conferentie. Spiegelmock had het in zijn speech onder andere over het Firefox-Javascript-lek, waarna al snel berichten opdoken over de mogelijkheid een systeem over te nemen door middel van deze fout. Daarbij claimde de hacker volgens sommige bronnen zelfs dat er wel dertig lekken in de populaire browser zaten. Window Snyder nam daarop contact op met Spiegelmock en deze wist haar te vertellen dat een en ander overtrokken lijkt te zijn.

De Toorcon-spreker heeft de Javascript-bug waarvan sprake is, alleen maar gebruikt om een crash te veroorzaken, maar is er naar eigen zeggen nooit in geslaagd van op afstand code op het slachtoffersysteem te laten uitvoeren. Bovendien heeft hij geen weet van andere fouten of lekken in de browsersoftware dan deze Javascript-melding. 'Iemand waarmee ik op Toorcon praatte, claimde weet te hebben van dertig Firefox-lekken, maar ik heb werkelijk geen idee of hij echt over die informatie beschikt en heb zelf nooit verkondigd dat dit zo zou zijn,' zo zwakte Spiegelmock de berichten af. Die 'iemand' wordt echter niet verder gespecificeerd, zodat onduidelijk is wie de geruchten dan wel de wereld in gestuurd mag hebben. Window Snyder benadrukte dat de Mozilla-ontwikkelaars onverminderd aan een oplossing voor het probleem blijven werken.

Lees meer

Reacties (38)

i-chat 4 oktober 2006 12:00

wellicht, maar 't zal nu ongetwijfeld een stapje in de ladder zijn af gezakt, van highly critical naar non-critical

Guru Evi @i-chat • 4 oktober 2006 16:17

Het gaat niet over Microsoft hoor.

Verwijderd @Guru Evi • 5 oktober 2006 17:06

Alsof ze bij Mozilla en andere software makers geen ranking van problemen hebben?

Het is maar goed dat dit zo is, want ik heb liever dat ze daar zitten de devven aan veiligheidsproblemen dan aan render issues, Tenminste, renderissues mogen ook wel aangepakt worden hoor

Maar ik hoop toch dat de Mozilla Foundation ook verschillende prioriteiten heeft.

Bor Coördinator Frontpage Admins / FP Powermod 4 oktober 2006 12:03

Dus de hacker zelf heeft nooit geclaimed kennis te hebben van 30 lekken. Het enige lek waar hij wel kennis van heeft bestaat ook inderdaad. Dus eigenlijk word er helemaal niets terug genomen?

In ieder geval is het duidelijk dat FF ook niet zo veilig is als de FF fanboys soms doen geloven. Hoe vaak lees je reacties met een strekking als "ik krijg geen malware want ik gebruik FF". Zelfs op GoT kom je dat soort opmerkingen tegen. Onbegrijpelijk.

RM-rf @Bor • 4 oktober 2006 12:06

wat er wordt teruggenomen is de bewering dat via het lek kwaardaardige code uit te voeren zou zijn...
dat is al een heel belangrijke bewering, die van een rottig lek een 'highly critical exploit' maakt

en andere beweringen over 30 leks worden ook teruggenomen..

waarom beweer je dan dat er _niks_ zou worden teruggenomen?
het is wel een heel groot verschil tussen de oorspronkelijke berichten

Bor Coördinator Frontpage Admins / FP Powermod @RM-rf • 4 oktober 2006 12:15

wat er wordt teruggenomen is de bewering dat via het lek kwaardaardige code uit te voeren zou zijn...
dat is al een heel belangrijke bewering, die van een rottig lek een 'highly critical exploit' maakt

Ik neem aan dat proof of concepts ook inderdaad getest worden alvorens een label als "highly critical exploit" aan een lek word verbonden.

Het zou wat zijn als men de crackers op hun woord ging geloven zeg. Die zijn namelijk per definitie al niet betrouwbaar.

Auteur

Yoeri @Bor • 4 oktober 2006 12:34

Subtiel verschil:

Hij zègt dat hij dat nooit gezegd heeft, terwijl diverse bronnen/verslagen van die toespraak beweren dat dat daar wèl gezegd werd. Aangezien ik er zelf niet aanwezig was, evenmin als jijzelf vermoed ik, hebben we dus geen absolute zekerheid over wat er daar gezegd werd. Ik vermoed echter dat, mocht dat een verzinsel zijn, er wel meer getuigen zouden opduiken die bevestigen dat die claim daar niet gemaakt is.

n4m3l355 @Bor • 4 oktober 2006 12:28

Ik denk dat hier eerder gezegd kan worden dat newsposts nooit betrouwbaar zijn. Hij zelf heeft nooit gezegd dat er 30 lekker zijn, dat is er van gemaakt door nieuws op nieuws te copieren.

Marijn_S @Bor • 4 oktober 2006 12:10

En ze hebben eigenlijk wel een beetje gelijk -- in dit geval in ieder geval

Het leek hier namelijk om een lek te gaan waarbij remote-execution mogelijk was, maar dit is afgezwakt is tot gewoon een denial of service attack waarbij het enige wat gebeuren kan, is dat resources vollopen en de browser crasht.

Maurits van Baerle @Bor • 4 oktober 2006 12:10

Ze waren met z'n tweeën, Mischa Spiegelmock en Andrew Wbeelsoi. Samen maakten ze de bewering dat ze 30 leaks hadden.

Spiegelmock heeft nu gezegd zelf achteraf die 30 leaks eigenlijk niet te kennen maar dat kennelijk Wbeelsoi die wel kende. Spiegelmock neemt nu ineens zijn verklaring over die 30 leaks én die arbitrary code execution terug. Wbeelsoi laat niets van zich horen.

woekele @Bor • 4 oktober 2006 12:11

Zzzz.... Het punt is niet dat er nooit lekken in Firefox zitten, het gaat erom dat ze sneller opgelost worden als ze worden gevonden.

En ik krijg inderdaad geen malware via mijn browser binnen omdat ik Fx gebruik. Als je virus.exe expliciet downloadt en start, krijg je natuurlijk nog steeds problemen, dat lijkt me duidelijk.

Bor Coördinator Frontpage Admins / FP Powermod @woekele • 4 oktober 2006 12:18

En ik krijg inderdaad geen malware via mijn browser binnen omdat ik Fx gebruik.

Compleet onzin. Het gebruiken van een alternative browser is in geen geval een garantie dat je geen malware op zult lopen of het slachtoffer zult worden van een of andere exploit. Het is een onterecht argument dat je overal tegen komt. Dat ik het hier zo verschikkelijk vaak op Tweakers.net en op GoT lees verbaasd mij. Mensen met een beetje kennis van zaken op IT vlak zouden toch beter moeten weten.

crazyx @Bor • 4 oktober 2006 13:16

De kans is gewoon oneindig veel kleiner, maar nog wel bestaande natuurlijk.

woekele @Bor • 5 oktober 2006 16:25

Er is inderdaad geen garantie nooit slachtoffer te worden van een exploit die net 1 dag uit is, dat is waar.

Maar mijn punt is juist dat dit soort exploits sneller worden opgelost bij Fx. Daarom is de kans veel en veel kleiner dat het gebeurt.

En @ backstash, .xpi ken ik wel. En nu? Die worden nooit automatisch geinstalleerd en zelfs automatisch geblokkeerd, behalve op expliciet opgegeven trusted sites.

alt-92 @woekele • 4 oktober 2006 12:21

Jammer dat je .xpi niet kent.

Pietervs 4 oktober 2006 12:03

Fijn, die gast heeft dus gewoon aandacht lopen trekken over de rug van Firefox heen...

it0 @Pietervs • 4 oktober 2006 12:51

En door de kwaliteit van de huidige media , denkt u iedereen dat FF zo lek is als een mandje.

Voor de trollen FF zal zeker wel bugs en exploits bevatten maar dit soort FUD zit niemand op te wachten.

Verwijderd @it0 • 4 oktober 2006 13:29

... en jan-op-het-net kan het allemaal geen bal schelen, anders zouden er niet die massas spam, fishing en spyware zijn en zou ik nu geen gratis wifi breedband gebruiken.

Bor Coördinator Frontpage Admins / FP Powermod @Pietervs • 4 oktober 2006 12:05

Fijn, die gast heeft dus gewoon aandacht lopen trekken over de rug van Firefox heen...

Nee, dat heeft hij niet: goed lezen

'Iemand waarmee ik op Toorcon praatte, claimde weet te hebben van dertig Firefox-lekken, maar ik heb werkelijk geen idee of hij echt over die informatie beschikt en heb zelf nooit verkondigd dat dit zo zou zijn,

Maurits van Baerle @Bor • 4 oktober 2006 12:22

Hhmm... een presentatie geven waar je beweert een fout te kennen en code te kunnen uitvoeren terwijl je achteraf moet toegeven dat je het eigenlijk niet kan lijkt toch wel een beetje over de rug van Mozilla aandacht trekken eerlijk gezegd.

As part of our talk we mentioned that there was a previously known Firefox vulnerability that could result in a stack overflow ending up in remote code execution. However, the code we presented did not in fact do this, and I personally have not gotten it to result in code execution, nor do I know of anyone who has.

I have not succeeded in making this code do anything more than cause a crash and eat up system resources, and I certainly haven’t used it to take over anyone else’s computer and execute arbitrary code.

Maurits van Baerle @Maurits van Baerle • 4 oktober 2006 12:31

Het bedrijf maakt dat statement niet, de 'hacker' maakt dit statement.

De 'hacker' zegt eerst iets te kunnen, de 'hacker' moet later zijn bewering terugnemen omdat hij het achteraf toch niet kan bewijzen.

De beweringen van deze 'hacker' lijken dus inderdaad niet zo betrouwbaar maar zolang hij geen bewijs kan leveren lijkt zijn eerste statement dus vals en zijn tweede correct. Zodra hij bewijs levert draait het om.

Bor Coördinator Frontpage Admins / FP Powermod @Maurits van Baerle • 4 oktober 2006 12:27

Maar hoe betrouwbaar is een statement van het bedrijf waar een eventuele exploit betrekking op heeft? De kans is natuurlijk (hoewel klein) dat er wel een lek is dat gebruikt kan worden om een systeem over te nemen maar dat stil word gehouden of nu ontkend omdat men het actief wil exploiten of het verkocht heeft.

Terracotta @Pietervs • 4 oktober 2006 14:14

Die gast is een vrouw...

Edit: was niet bedoeld als steek naar vrouwen.

Dark Angel 58 @Terracotta • 4 oktober 2006 14:17

blondine?

kidde 5 oktober 2006 00:59

Op de ToorCon agenda:

21:30-03:00 ToorCon Saturday Night Party - Sponsored by Microsoft (Link)

Kortom, na meer dan 5 uur bier drinken op kosten van MS wil je best wel eens iets naars over de concurrentie zeggen

PS: Van dezelfde bron (voor het bier overigens):
Mischa Spiegelmock & Andrew Wbeelsoi - Lovin the LOLs, LOL is my will.
En dan zijn er mensen die denken dat dat een serieuze presentatie is?

Jaja, veel media zijn ook niet meer wat ze geweest zijn.

Verwijderd 4 oktober 2006 12:27

vrouwen en computers... hehe nee, het is inderdaad goed voor een one-day-fly carrierebuild, maar ik denk dat deze techneut nu nergens meer welkom is.

Verwijderd @Verwijderd • 4 oktober 2006 12:47

Mischa is een 'hij'.
Even een sv-tje?

Window Snyder is een vrouw die eerst bij Microsoft werkte aan veiligheid. Gezien de goede reputatie van Windows qua veiligheid (not) mag ze sinds september bij Mozilla werken op veiligheid.

De heren Mischa Spiegelmock en Andrew Wbeelsoi wilden stoer doen en hielden zaterdag een lezing waarin ze stelden dat Firefox een veiligheidsgat had waardoor ze de macht konden grijpen op een computer.
Ook beweerden ze dat er wel 30 gaten waren maar die wilden ze niet bekend maken aan Mozilla, wat al aantoont wat een eikels het zijn.

Mevr Snyder reageerde daar adequaat op (al is dat woord door Rita besmet): http://news.zdnet.com/2100-1009_22-6121608.html

Maandag moesten ze die bewering alweer intrekken:
http://news.zdnet.com/2100-1009_22-6122317.html?tag=nl

En nu mag jij je misangyne opmerking nog eens uitleggen.

Bor Coördinator Frontpage Admins / FP Powermod @Verwijderd • 4 oktober 2006 14:00

Window Snyder is een vrouw die eerst bij Microsoft werkte aan veiligheid. Gezien de goede reputatie van Windows qua veiligheid (not) mag ze sinds september bij Mozilla werken op veiligheid.

Gezien ze bij Mozilla is aangenomen zal ze ook bij MS wel wat goed hebben gedaan he? Maw onnodige flame die je daar neer zet.

Maurits van Baerle @Bor • 4 oktober 2006 14:23

Als ik het goed heb was ze bij MS de drijvende kracht achter de securityimpuls die XP SP2 heette. Ze heeft dus inderdaad best een boeiende staat van dienst.

Verwijderd 4 oktober 2006 16:57

Maakt nie uit hoe je het wendt of keert:
Javascript == Microsoft.

Doe ermee wat je wil....

erikdenv @Verwijderd • 4 oktober 2006 20:04

Welk een stuitende domheden kom je hier soms tegen.

Javascript == Microsoft

Ooit bedacht Netscape LiveScript. Toen de Java hype opkwam is dit omgedoopt naar JavaScript. MS zette toen nog in op VBScript. Uiteindelijk ondersteunden zij JScript zoals ze het zelf noemden. Bijna helemaal Javascript, het blijft MS.

Sinds versie 1.3 is Javascript gestandaardiseerd onder de naam EcmaScript. Deze taal wordt ondersteund door elke moderne browser.

Ergo: Javascript != Microsoft

Dark Angel 58 4 oktober 2006 14:16

delete this post please

Verwijderd 4 oktober 2006 16:41

En als het om IE was gegaan zouden de Microsoft-heeft-hem-onder-druk-gezet conspiracy theories hier in het rond vliegen.

En hoe zit het met de door hem gedane uitspraken dat Firefox "fairly insecure" is? Dat de JavaScript implementation "A complete mess" is? Dat hij een slideshow had van de essentiele delen van de exploit-code?

Dubieus verhaal ineens.

Verwijderd 4 oktober 2006 12:03

Haha, daar is de glas snijder van Windows weer

dasiro @Verwijderd • 4 oktober 2006 12:08

straks heeft hij nog een rechtzaak aan z'n been, vanwege de mogelijkheid dat mensen denken dat hij mr snyder is van windows. ik zou toch snel van naam veranderen moest ik hem zijn

hiostu @dasiro • 4 oktober 2006 12:16

Het is een "zij"

dts927 @dasiro • 4 oktober 2006 12:23

extra info over mevrouw Snyder
Wikipedia
Flickr

Op dit item kan niet meer gereageerd worden.

Hacker neemt claim Firefox-lekken terug

Lees meer

Reacties (38)

Sorteer op:

Weergave: