Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 38 reacties
Bron: Mozilla, submitter: Maurits van Baerle

Firefox-logoMozilla's veiligheidsverantwoordelijke Window Snyder heeft een reactie gepubliceerd op de toespraak van Mischa Spiegelmock op de Toorcon-conferentie. Spiegelmock had het in zijn speech onder andere over het Firefox-Javascript-lek, waarna al snel berichten opdoken over de mogelijkheid een systeem over te nemen door middel van deze fout. Daarbij claimde de hacker volgens sommige bronnen zelfs dat er wel dertig lekken in de populaire browser zaten. Window Snyder nam daarop contact op met Spiegelmock en deze wist haar te vertellen dat een en ander overtrokken lijkt te zijn.

De Toorcon-spreker heeft de Javascript-bug waarvan sprake is, alleen maar gebruikt om een crash te veroorzaken, maar is er naar eigen zeggen nooit in geslaagd van op afstand code op het slachtoffersysteem te laten uitvoeren. Bovendien heeft hij geen weet van andere fouten of lekken in de browsersoftware dan deze Javascript-melding. 'Iemand waarmee ik op Toorcon praatte, claimde weet te hebben van dertig Firefox-lekken, maar ik heb werkelijk geen idee of hij echt over die informatie beschikt en heb zelf nooit verkondigd dat dit zo zou zijn,' zo zwakte Spiegelmock de berichten af. Die 'iemand' wordt echter niet verder gespecificeerd, zodat onduidelijk is wie de geruchten dan wel de wereld in gestuurd mag hebben. Window Snyder benadrukte dat de Mozilla-ontwikkelaars onverminderd aan een oplossing voor het probleem blijven werken.

Moderatie-faq Wijzig weergave

Reacties (38)

wellicht, maar 't zal nu ongetwijfeld een stapje in de ladder zijn af gezakt, van highly critical naar non-critical
Het gaat niet over Microsoft hoor.
Alsof ze bij Mozilla en andere software makers geen ranking van problemen hebben?

Het is maar goed dat dit zo is, want ik heb liever dat ze daar zitten de devven aan veiligheidsproblemen dan aan render issues, Tenminste, renderissues mogen ook wel aangepakt worden hoor :+ Maar ik hoop toch dat de Mozilla Foundation ook verschillende prioriteiten heeft.
Dus de hacker zelf heeft nooit geclaimed kennis te hebben van 30 lekken. Het enige lek waar hij wel kennis van heeft bestaat ook inderdaad. Dus eigenlijk word er helemaal niets terug genomen?

In ieder geval is het duidelijk dat FF ook niet zo veilig is als de FF fanboys soms doen geloven. Hoe vaak lees je reacties met een strekking als "ik krijg geen malware want ik gebruik FF". Zelfs op GoT kom je dat soort opmerkingen tegen. Onbegrijpelijk.
wat er wordt teruggenomen is de bewering dat via het lek kwaardaardige code uit te voeren zou zijn...
dat is al een heel belangrijke bewering, die van een rottig lek een 'highly critical exploit' maakt

en andere beweringen over 30 leks worden ook teruggenomen..

waarom beweer je dan dat er _niks_ zou worden teruggenomen?
het is wel een heel groot verschil tussen de oorspronkelijke berichten
wat er wordt teruggenomen is de bewering dat via het lek kwaardaardige code uit te voeren zou zijn...
dat is al een heel belangrijke bewering, die van een rottig lek een 'highly critical exploit' maakt
Ik neem aan dat proof of concepts ook inderdaad getest worden alvorens een label als "highly critical exploit" aan een lek word verbonden.

Het zou wat zijn als men de crackers op hun woord ging geloven zeg. Die zijn namelijk per definitie al niet betrouwbaar.
Subtiel verschil:

Hij zŤgt dat hij dat nooit gezegd heeft, terwijl diverse bronnen/verslagen van die toespraak beweren dat dat daar wŤl gezegd werd. Aangezien ik er zelf niet aanwezig was, evenmin als jijzelf vermoed ik, hebben we dus geen absolute zekerheid over wat er daar gezegd werd. Ik vermoed echter dat, mocht dat een verzinsel zijn, er wel meer getuigen zouden opduiken die bevestigen dat die claim daar niet gemaakt is.
Ik denk dat hier eerder gezegd kan worden dat newsposts nooit betrouwbaar zijn. Hij zelf heeft nooit gezegd dat er 30 lekker zijn, dat is er van gemaakt door nieuws op nieuws te copieren.
En ze hebben eigenlijk wel een beetje gelijk -- in dit geval in ieder geval ;) Het leek hier namelijk om een lek te gaan waarbij remote-execution mogelijk was, maar dit is afgezwakt is tot gewoon een denial of service attack waarbij het enige wat gebeuren kan, is dat resources vollopen en de browser crasht.
Ze waren met z'n tweeŽn, Mischa Spiegelmock en Andrew Wbeelsoi. Samen maakten ze de bewering dat ze 30 leaks hadden.

Spiegelmock heeft nu gezegd zelf achteraf die 30 leaks eigenlijk niet te kennen maar dat kennelijk Wbeelsoi die wel kende. Spiegelmock neemt nu ineens zijn verklaring over die 30 leaks ťn die arbitrary code execution terug. Wbeelsoi laat niets van zich horen.
Zzzz.... Het punt is niet dat er nooit lekken in Firefox zitten, het gaat erom dat ze sneller opgelost worden als ze worden gevonden.

En ik krijg inderdaad geen malware via mijn browser binnen omdat ik Fx gebruik. Als je virus.exe expliciet downloadt en start, krijg je natuurlijk nog steeds problemen, dat lijkt me duidelijk.
Jammer dat je .xpi niet kent.
En ik krijg inderdaad geen malware via mijn browser binnen omdat ik Fx gebruik.
Compleet onzin. Het gebruiken van een alternative browser is in geen geval een garantie dat je geen malware op zult lopen of het slachtoffer zult worden van een of andere exploit. Het is een onterecht argument dat je overal tegen komt. Dat ik het hier zo verschikkelijk vaak op Tweakers.net en op GoT lees verbaasd mij. Mensen met een beetje kennis van zaken op IT vlak zouden toch beter moeten weten.
Er is inderdaad geen garantie nooit slachtoffer te worden van een exploit die net 1 dag uit is, dat is waar.

Maar mijn punt is juist dat dit soort exploits sneller worden opgelost bij Fx. Daarom is de kans veel en veel kleiner dat het gebeurt.

En @ backstash, .xpi ken ik wel. En nu? Die worden nooit automatisch geinstalleerd en zelfs automatisch geblokkeerd, behalve op expliciet opgegeven trusted sites.
De kans is gewoon oneindig veel kleiner, maar nog wel bestaande natuurlijk.
Fijn, die gast heeft dus gewoon aandacht lopen trekken over de rug van Firefox heen... :(
En door de kwaliteit van de huidige media , denkt u iedereen dat FF zo lek is als een mandje.

Voor de trollen FF zal zeker wel bugs en exploits bevatten maar dit soort FUD zit niemand op te wachten.
... en jan-op-het-net kan het allemaal geen bal schelen, anders zouden er niet die massas spam, fishing en spyware zijn en zou ik nu geen gratis wifi breedband gebruiken.
Fijn, die gast heeft dus gewoon aandacht lopen trekken over de rug van Firefox heen...
Nee, dat heeft hij niet: goed lezen
'Iemand waarmee ik op Toorcon praatte, claimde weet te hebben van dertig Firefox-lekken, maar ik heb werkelijk geen idee of hij echt over die informatie beschikt en heb zelf nooit verkondigd dat dit zo zou zijn,
Hhmm... een presentatie geven waar je beweert een fout te kennen en code te kunnen uitvoeren terwijl je achteraf moet toegeven dat je het eigenlijk niet kan lijkt toch wel een beetje over de rug van Mozilla aandacht trekken eerlijk gezegd.
As part of our talk we mentioned that there was a previously known Firefox vulnerability that could result in a stack overflow ending up in remote code execution. However, the code we presented did not in fact do this, and I personally have not gotten it to result in code execution, nor do I know of anyone who has.

I have not succeeded in making this code do anything more than cause a crash and eat up system resources, and I certainly haven’t used it to take over anyone else’s computer and execute arbitrary code.
Het bedrijf maakt dat statement niet, de 'hacker' maakt dit statement.

De 'hacker' zegt eerst iets te kunnen, de 'hacker' moet later zijn bewering terugnemen omdat hij het achteraf toch niet kan bewijzen.

De beweringen van deze 'hacker' lijken dus inderdaad niet zo betrouwbaar maar zolang hij geen bewijs kan leveren lijkt zijn eerste statement dus vals en zijn tweede correct. Zodra hij bewijs levert draait het om.
Maar hoe betrouwbaar is een statement van het bedrijf waar een eventuele exploit betrekking op heeft? De kans is natuurlijk (hoewel klein) dat er wel een lek is dat gebruikt kan worden om een systeem over te nemen maar dat stil word gehouden of nu ontkend omdat men het actief wil exploiten of het verkocht heeft.
Die gast is een vrouw...

Edit: was niet bedoeld als steek naar vrouwen.
Op de ToorCon agenda:
  • 21:30-03:00 ToorCon Saturday Night Party - Sponsored by Microsoft (Link)
Kortom, na meer dan 5 uur bier drinken op kosten van MS wil je best wel eens iets naars over de concurrentie zeggen :)

PS: Van dezelfde bron (voor het bier overigens):
Mischa Spiegelmock & Andrew Wbeelsoi - Lovin the LOLs, LOL is my will.
En dan zijn er mensen die denken dat dat een serieuze presentatie is? :Z

Jaja, veel media zijn ook niet meer wat ze geweest zijn.
vrouwen en computers... hehe nee, het is inderdaad goed voor een one-day-fly carrierebuild, maar ik denk dat deze techneut nu nergens meer welkom is.
Mischa is een 'hij'.
Even een sv-tje?

Window Snyder is een vrouw die eerst bij Microsoft werkte aan veiligheid. Gezien de goede reputatie van Windows qua veiligheid (not) mag ze sinds september bij Mozilla werken op veiligheid.

De heren Mischa Spiegelmock en Andrew Wbeelsoi wilden stoer doen en hielden zaterdag een lezing waarin ze stelden dat Firefox een veiligheidsgat had waardoor ze de macht konden grijpen op een computer.
Ook beweerden ze dat er wel 30 gaten waren maar die wilden ze niet bekend maken aan Mozilla, wat al aantoont wat een eikels het zijn.

Mevr Snyder reageerde daar adequaat op (al is dat woord door Rita besmet): http://news.zdnet.com/2100-1009_22-6121608.html

Maandag moesten ze die bewering alweer intrekken:
http://news.zdnet.com/2100-1009_22-6122317.html?tag=nl

En nu mag jij je misangyne opmerking nog eens uitleggen.
Window Snyder is een vrouw die eerst bij Microsoft werkte aan veiligheid. Gezien de goede reputatie van Windows qua veiligheid (not) mag ze sinds september bij Mozilla werken op veiligheid.
Gezien ze bij Mozilla is aangenomen zal ze ook bij MS wel wat goed hebben gedaan he? Maw onnodige flame die je daar neer zet.
Als ik het goed heb was ze bij MS de drijvende kracht achter de securityimpuls die XP SP2 heette. Ze heeft dus inderdaad best een boeiende staat van dienst.
Maakt nie uit hoe je het wendt of keert:
Javascript == Microsoft.

Doe ermee wat je wil.... ;)
Welk een stuitende domheden kom je hier soms tegen.
Javascript == Microsoft
Ooit bedacht Netscape LiveScript. Toen de Java hype opkwam is dit omgedoopt naar JavaScript. MS zette toen nog in op VBScript. Uiteindelijk ondersteunden zij JScript zoals ze het zelf noemden. Bijna helemaal Javascript, het blijft MS.

Sinds versie 1.3 is Javascript gestandaardiseerd onder de naam EcmaScript. Deze taal wordt ondersteund door elke moderne browser.

Ergo: Javascript != Microsoft
delete this post please
En als het om IE was gegaan zouden de Microsoft-heeft-hem-onder-druk-gezet conspiracy theories hier in het rond vliegen. :')

En hoe zit het met de door hem gedane uitspraken dat Firefox "fairly insecure" is? Dat de JavaScript implementation "A complete mess" is? Dat hij een slideshow had van de essentiele delen van de exploit-code?

Dubieus verhaal ineens.
Haha, daar is de glas snijder van Windows weer :D
straks heeft hij nog een rechtzaak aan z'n been, vanwege de mogelijkheid dat mensen denken dat hij mr snyder is van windows. ik zou toch snel van naam veranderen moest ik hem zijn :+
Het is een "zij" ;)

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True