Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 67 reacties

Mozilla heeft Firefox 3.0.8, die oorspronkelijk voor begin april was gepland, vervroegd uitgebracht. Daarmee hoopt de browserbouwer een tweetal ernstige beveiligingslekken te hebben gedicht. IE8 en Safari zijn nog niet gepatcht.

Het eerste lek werd twee weken terug tijdens de Pwn2Own-hackwedstrijd openbaar gemaakt. Een hacker met de nickname Nils wist in korte tijd een bug in Internet Explorer 8 te misbruiken, een kunstje dat hij wist te herhalen in Mozilla's Firefox 3 en Apple's Safari 4.

Een week later publiceerde de Italiaanse beveiligingsonderzoeker Guido Landi een zero-day exploit, inclusief de nodige details over een bug in de afhandeling van xsl-stylesheets door Mozilla. Met een aangepast xsl-bestand kan de browser crashen, waarna kwaadaardige code kan worden uitgevoerd.

Door de twee gevaarlijke lekken voelde Mozilla zich genoodzaakt om Firefox 3.0.8 versneld uit te brengen. Omdat de testprocedures voor de update reeds waren voltooid, bleek dit geen onoverkomelijk probleem. Een aantal verbeteringen die nog waren gepland voor versie 3.0.8, zullen echter pas in 3.0.9 worden meegenomen. Gebruikers van Internet Explorer 8 en Safari 4 moeten nog geduld hebben: tot nu toe zijn er nog geen patches uitgebracht voor deze twee browsers.

Moderatie-faq Wijzig weergave

Reacties (67)

Tip: voordat mensen gaan updaten maak een backup van je bookmarks. Firefox heeft een 'slechte' backup gebruikt in mijn geval en nu ben ik de veranderingen in m'n bookmarks van de laatste maanden kwijt. Ik denk omdat er bij het automatisch backuppen iets fout is gegaan. De recente automatische backups bevatten namelijk alleen bookmarks van enkele maanden terug. Veel meer ben ik er nog niet uit wijs geworden, ook niet met http://kb.mozillazine.org/Lost_bookmarks .
Een goed idee om dit te voorkomen is de FoxMarks addon te gebruiken. Zie https://addons.mozilla.org/nl/firefox/addon/2410

Dit is echt een prima addon en voorkomt dit soort ellende als lost bookmarks.
Gebruikers van Internet Explorer 8 en Safari moeten nog geduld hebben: tot nu toe zijn er nog geen patches uitgebracht voor deze twee browsers.
Voor IE8 is er momenteel geen exploit bekend zoals voor Firefox
Op de CanSecWest Pwn2own hackwedstrijd is een beta of rc versie van IE8 gehacked. De exploit die daar gebruikt is werkt echter helemaal niet op de IE8 final.
Op de IE8 final versie is namelijk een belangrijke exploitatie methode van lekken in IE8 gepatched.
Q: Has the exploit used in the recent Pwn2Own been patched?
A: We are investigating the Pwn2Own issue that was responsibly provided to us by TippingPoint. While we can't comment on the specifics of the investigation at this time, we can say that the attack as demonstrated in Pwn2Own at CanSecWest will not succeed on the RTW build released on March 19 due to changes that can block the ASLR+DEP .NET bypass demonstrated by Dowd and Sotirov at BlackHat in 2008
http://blogs.technet.com/...-aslr-dep-net-bypass.aspx
Die exploit is er zeker wel!.. De exploit op de final van IE8 werkt inderdaad niet op Vista vanwege DEP en ASLR. In de RC van IE8 was DEP nog niet ingeschakeld dus kon deze ook gexploiteerd worden. Echter beschikt Windows XP niet over DEP en ASLR waardoor mensen met XP gewoon kwetsbaar zijn!.
Windows XP SP2 zeker SP3 heeft DEP wel (config > system > Advanced Tab > Performance settings > Tab Data Execution Prevention)

Voorwat ASLR staat weet ik niet maarja
ASLR = Address Space Layout Randomization, zie http://en.wikipedia.org/w...pace_layout_randomization

Die zit inderdaad alleen in Windows Vista en Windows Server 2008, niet in XP. Maar DEP idd wel degelijk (vanaf SP2).
Ook in Linux (ik had het in 2005 al) en al talloze jaren in OpenBSD (en mogelijk andere versies van BSD, weet ik niet), voor de volledigheid.
Windows XP bevat zeker wel DEP, mits je minimaal SP2 hebt geinstalleerd. In de RTM- en SP1-versie zit idd geen DEP, maar ik denk niet dat iemand die nog gebruikt, want los van deze bug loop je dan namelijk nog wel heel wat meer beveiligingsrisico's.
mits je minimaal SP2 hebt geinstalleerd
De aanwezigheid van SP2 of SP3 is dan ook een minimum vereiste voor installatie van IE8 op XP.
In de RC van IE8 was DEP nog niet ingeschakeld dus kon deze ook gexploiteerd worden.
DEP/NX stond gewoon aan in IE8 en al vanaf de eerste beta.
Op de IE8 final versie is namelijk een belangrijke exploitatie methode van lekken in IE8 gepatched.
Kortom, waar hebben we het eigenlijk over? Zou Tweakers ook een rectificatie plaatsen nadat ze, niet gehinderd door enige kennis van zaken, een artikel plaatsten waarin deze exploit met veel tamtam werd aangekondigd?
Dat de overige browsers in feite veel kwetsbaarder waren werd even verzwegen.

De strekking is dat geen enkel stuk software 100% veilig is, dat is nu niet zo en dat is ook nooit zo geweest. Dat is iets wat blijkbaar nog steeds heel veel mensen niet willen begrijpen. Verbazingwekkend is dat die groep uit een hoog percentage IT'ers bestaat.
Volgens mij is je laatste alinea foutief verwoord. Er staat nu letterlijk dat er software bestaat die 100% veilig is. Dat is dus absolute nonsens. Je kunt geen garantie van 100% veiligheid geven, al helemaal niet op hedendaagse complexe software. Ik vind echter dat juist de IT'ers hier heel goed van doordrongen zijn maar waarbij ik wel moet opmerken dat dit veelal mensen zijn uit de unix/security/networking wereld. De mensen die met webdesign bezig zijn hebben het minste gevoel voor security.
Dan zou wel het artikel even aangepast moeten worden
A: We are investigating the Pwn2Own issue that was responsibly provided to us by TippingPoint. While we can't comment on the specifics of the investigation at this time, we can say that the attack as demonstrated in Pwn2Own at CanSecWest will not succeed on the RTW build released on March 19 due to changes that can block the ASLR+DEP .NET bypass demonstrated by Dowd and Sotirov at BlackHat in 2008
Deze info hoort er wel in te staan als je een beetje objectief wilt blijven
Kennelijk is alleen de RC van IE8 niet gepatcht en de final al gepatcht voor ie uitkwam.
Dat is niet noodzakelijkerwijs juist.
Het (niet gepubliceerde) lek is er mogelijk nog wel maar de exploitatie methode is er niet meer zodat de dreiging veel lager is.
Lek weg of exploitatie onmogelijk gemaakt geeft netto hetzelfde resultaat.
Welke van de 2 er in dit geval gebeurd is, is niet duidelijk en volgens mij ook niet belangrijk.
ga er maar vanuit dat er een exploit is of al in de maak is.
Sinds DEP/NX en ASLR zijn geintroduceerd is er nog maar 1 methode bekend geworden om vunerabilites die daarop zijn gebaseerd te exploiteren. Juist deze methode is in IE8 ineens niet meer mogelijk.
Het is niet voor niets dat deze security feature in een final release produceren. Het duurde de vorige keer anderhalf jaar voordat deze security methodes voort met name IE7 in Vista gekraakt waren (IE7 op XP had standaard geen DEP/NX aanstaan) en nog iets langer voor er een expliteerbare methode uit voortkwam. Het is dus bepaalde geen simple te omzeilen security feature. En die ene methode die in die ruim twee jaar dat Vista met IE7 nu op de markt is is nu weer geblokkeerd in IE8 final. Voorlopig neemt hier IE8 dus weder een forse voorsprong op de hackers in security en kan het wel weer lang duren voordat overflow vunerabilites in IE8 weer geexploiteerd kunnen worden.

[Reactie gewijzigd door 80466 op 29 maart 2009 13:37]

Sinds DEP/NX en ASLR zijn geintroduceerd is er nog maar 1 methode bekend geworden om vunerabilites die daarop zijn gebaseerd te exploiteren. Juist deze methode is in IE8 ineens niet meer mogelijk.
bullshit, DEP/NX en ASLR zijn os level features en geldt voor alle applicaties in vista dus ook voor firefox en andere windows applicaties. jij doet net alsof ie8 deze feautures heeft en firefox niet.

nou, omdat ie8 nog steeds vulnerable is voor de 2 security issues die in firefox nu opgelost zijn is het echt het beste ie8 even links te laten liggen en over te stappen op firefox.

dus bij firefox heb je en DEP/NX en ALSR en daarnaast zijn in firefox de twee ernstige beveiligingslekken gedicht die nog wel aanwezig zijn in ie8.
bullshit, DEP/NX en ASLR zijn os level features en geldt voor alle applicaties in vista dus ook voor firefox en andere windows applicaties. jij doet net alsof ie8 deze feautures heeft en firefox niet.
Helemaal geen bullshit.
DEP is een methode die afhaneklijk is van zowel OS als applicaties. Het werkt alleen op Windows XP met minimaal SP2 of recenter maar alleen als de applicatie het ook daadwerkelijk toepast.

Het gaat erom dat er vorig jaar voor onderzoeker een methode is bedacht om DEP/NX en ASLR te omzeilen in IE7 op Vista. Een soort heap spray methode. Daardoor was IE7 op Vista potentieel weer te exploiteren met gevaarlijk overflow lekken.
Sindsdien zijn er twee overflow lekken geweest waarvoor Microsoft telkens een extra tussentijdse patch moest uitbrengen (zoals FF nu dus doet) die allebei deze methode hanteerden. Ook de eploit die gebruikt werd tijdens CanSecWest gebruikte deze methode. In IE8 final is deze methode niet meer mogelijk en is er ineens geen exploit methodevoor dergelijk lekken beschikbaar en kan het ook nog wel een tijdje duren voor dat weer het geval is.
en daarnaast zijn in firefox de twee ernstige beveiligingslekken gedicht die nog wel aanwezig zijn in ie8.
Dat is pas pure bullshit.
Een puur verzinsel van jouzelf.
Het gaat niet helemaal niet om dezelfde lekken maar om ongerelateerde lekken in een andere browser.
In FF gaat het om twee hoogkritische zero day lekken waarvoor de exploits aangetoond zijn en waarvan 1 van die exploit zelfs publiekelijk gepubliceerd is.
In IE8 gaat het om 1 zero day lek waarvoor echter geen bekende exploit beschikbaar is.

[Reactie gewijzigd door 80466 op 29 maart 2009 14:54]

>en daarnaast zijn in firefox de twee ernstige beveiligingslekken gedicht die nog wel >aanwezig zijn in ie8.
Dat is pas pure bullshit.
Een puur verzinsel van jouzelf.
lees het tweakers artikel nog een keer goed door zou ik zeggen.

ie8 laat de lekken gewoon zitten, firefox haalt ze eruit. zowel firefox als ie8 maken gebruik van die super secure features DEP/NX en ASLR van recente windows os versies.

dan is firefox dus adequaat bezig en is ms sloppy door een gat in de eerste line-of-defense, de ie8 browser, moedwillig te laten zitten. dat is vragen om problemen, en jij kunt niet bewijzen dat die exploit er niet is.

conclusie: het is beter ie8 voorlopig links te laten liggen en over te stappen op firefox 308.
LEES JIJ HET ARTIKEL NOG MAAR EENS DOOR !!!

Er staat nergens dat het dezelfde lekken betreft.
Ik zal het nog maar eens duidelijk herhalen voor je.

Firefox: TWEE hoogkritische zero day vunerabilites allebeide met aangetoonde exploits en 1 van die exploits ligt ook op straat
IE8: 1 zeroday vunerability en geen aangetoonde exploit.

Logisch ook dat FF nu patched want dat was duidelijk een sitting duck met een publiekelijke gepubliceerde exploit voor een hoogkritisch lek.
nou, zoals ik het lees staat er gewoon dat die vulnerability uit firefox gehaald is en dat ie in de meest recente explorer verkrijgbaar nog gewoon aanwezig is (ie.8).

dan kun jij wel beweren dat er geen exploit voor bestaat (dit kun je overigens niet bewijzen) maar ik zou me niet veilig voelen met een "lekke" internet explorer. en gezien de hoge penetratiegraad van het windows+explorer platform zullen de malafide hacker boys er zeker mee bezig zijn.

daarom, wees verstandig en surf voorlopig met firefox 3.0.8 ipv internet explorer waarvan je notabene zelf toegeeft te weten dat er een vulnerability inzit.
Wat een onzinargument. Het is duidelijk dat Firefox ook niet veiliger is dan IE8. Dus om firefox aan te raden, terwijl IE8 net zo veilig is is pure fanboygedrag
Zijn argument zal dan niet helemaal werken maar als je kijkt naar de afgelopen 5 jaar van Firefox en de snelle patch die met 3.0.8 kwam kun je toch wel stellen dat Firefox het meest actief is op het gebied van veiligheid van alle browsers.
Ook IE8 kwam een paar maanden geleden nog met een versnelde tussentijdse patch toon er een exploit code opdook voor een lek.
Ook binnen een dag of 10.
Daar is echter nu geen reden voor omdat IE8 final nog niet bedreigd wordt zoals FF 3.07 dat wel was.

En FF 2 wordt sinds december al helemaal niet meer geupdate terwijl daar toch nog 2%-3% van de mensen mee werkt wat toch 20-30 miljoen gebruikers zijn.
En meer dan 17% gebruikt nog steeds IE6...
daar komen dan ook nog steeds patches voor uit.
Kijk o.a hier: http://www.microsoft.com/...ty/bulletin/ms08-078.mspx

( zelfs ie 5 pakt men daar aan)

Dat is dus eeb belangrijk verschil inderdaad.
appie20003
Wat een onzinargument. Het is duidelijk dat Firefox ook niet veiliger is dan IE8.
en uit het tweaker artikel
Mozilla heeft Firefox 3.0.8, die oorspronkelijk voor begin april was gepland, vervroegd uitgebracht. Daarmee hoopt de browserbouwer een tweetal ernstige beveiligingslekken te hebben gedicht. IE8 en Safari zijn nog niet gepatcht.
onzin argument :?
Dit zegt niks over de algemene veiligheid van Firefox, dat ze dit lek sneller dichten als de rest wil niet zeggen dat heel Firefox ook veiliger is als IE8 of juist minder veilig.
Het aantal gevonden lekken zeggen zowiezo helemaal niets over de veiligheid van iets.
Wie een gatenkaas in een schoenendoos stopt ziet minder gaten zitten dan een 'normale' kaas in doorkijkplastic.

Waarchijnlijk zitten er in Firefox nog zat lekken, net zoals in de meeste andere browsers; alleen ze zijn nog niet gevonden. Voordeel is dat als een lek nog door niemand gevonden is het ook niet misbruikt wordt, maar ook een lek dat niemand kent (inclusief crackers niet) betekent 'onveiligheid'. Vandaar dat, wil je veilige software hebben, je er het beste aan doet software te nemen die pro-actief geaudit is; maar dat is bij browsers voor zover ik weet nergens het geval (behalve bij OpenBSD, maar die auditen alleen hún versie van Lynx gok ik).
Formeel verifiëerbare software heeft helaas waar het om browsers gaat ook nog niet z'n intrede gedaan. Conclusie is dat er over de veiligheid van de huidige browsers alleen te zeggen is hoeveel lekken gevonden worden en hoe snel ze gepatcht worden, maar dat is dus niet het hele verhaal.
Tijdens Pwn2Own is de RC van IE8 gebruikt.
De RC van IE8 had dit lek wel de final heeft 't niet, en hoeft dus niet eens gepatcht.
En hoe zit het met Chrome, heeft die geen last van dit lek? Vraag ik me toch wel af, want volgens mij is die op dezelfde basis gemaakt als Safari?
Chrome heeft van dit specifieke lek geen last nee, van de vier geteste browsers (IE8 RC, Safari, Firefox en Chrome) was dat de enige die het lek niet vertoont. Opera is niet getest. En van IE8 is de RTM-versie ook niet kwetsbaar mits DEP aanstaat (is default het geval).

Zie het nieuwsartikel dat over die hackwedstrijd ging: nieuws: IE8, Safari en Firefox gehackt tijdens Pwn2Own-evenement

[Reactie gewijzigd door wildhagen op 29 maart 2009 12:24]

Chrome heeft van dit specifieke lek geen last nee, van de vier geteste browsers (IE8 RC, Safari, Firefox en Chrome) was dat de enige die het lek niet vertoont
Het betrof niet 1 lek in alle browsers maar het betrof verschillende lekken voor Firefox, IE8 en Safari.
Chrome die de webkit enige deelt met Safari was mogelijk wel vunerable voor het lek in Safari maar het bleek niet exploiteerbaar doordat Chrome de webkit rendering engine in een soort sandbox draaien en Safari niet.
Je hebt dus bij Chrome ook een exploitatie methode nodig om uit de sandbox te komen en alleen deze vunerability was niet genoeg.

[Reactie gewijzigd door 80466 op 29 maart 2009 16:58]

En van IE8 is de RTM-versie ook niet kwetsbaar mits DEP aanstaat
Dan moet je dus niet een oudere PC hebben die DEP niet ondersteunt. Ja ok, het bestaat al een tijdje, maar ik bedoel dan ook dan Windows (en IE8) prima draait op een CPU die dat niet heeft. Een Athlon XP of een Pentium 4 bijv.
DEP staat default aan ja, ook in xp, maar ik zie: alleen inschakelen voor kriteke Windows-programma's en services... Ik zal wel tegendraads zijn ,maar ik vind IE geen kritiek Windows-programma... Firefox is dat toch ook niet??
Goed dat ze zo snel een update uitbrengen. Bij het updaten van FF wordt nergens een changelog o.i.d.gelinkt.
De security-gerelateerde fixes worden door Firefox wel degelijk in een changelog bijgehouden hoor, voor versie 3.xx kan je die bijvoorbeeld hier vinden: http://www.mozilla.org/se...rabilities/firefox30.html

Wel duurt het soms inderdaad een dag voordat deze lijst is geupdate,.
Bedankt. De changelog stond er vanochtend toen ik FF opstartte nog niet bij.
Dat is apart want afgelopen zaterdagmiddag heb ik mijn Firefox via de automatische updates weten te updaten. Ik kwam toen op de standaard release notes pagina terecht waarbij netjes 2 security bugs werden gemeldt als changes. Dit werd vervolgens naar de versimpelde security bugs pagina doorgelinkt maar ook naar bugzilla pagina waar alle gefixte bugs voor de betreffende release vermeld staat (en dat zijn alleen de 2 gemelde security fixes, de rest is naar 3.0.9 doorgeschoven).

[Reactie gewijzigd door ppl op 29 maart 2009 16:45]

Wanneer ik update, word ik direct na de update nochtans doorgestuurd naar http://en-us.www.mozilla.com/en-US/firefox/3.0.8/whatsnew/ , waar een linkje staat naar de wijzigingen.
Dank je, tweakers.net! 8-) Weer nieus direct van de pers ^^

Ik opende mijn FF, en was stomverbaasd om te zien dat er een update was, terwijl ik daar nog geen aankondiging van had gezien, al dacht ik wel dat het met die befaamde hacks te maken had.
Weer nieus direct van de pers ^^
Nou, T-net wist het 2 dagen geleden al hoor, alleen stond het toen in de meuktracker:
meuk: Mozilla Firefox 3.0.8
Mozilla heeft vrijdagavond een nieuwe versie van Firefox 3 beschikbaar gesteld.
Dan hebben ze het nu pas volledig doorgevoerd ;)
Ja, ik had hem vannacht om 2uur (dacht ik) zo'n update schermpje (tja laptop staat altijd aan + firefox ook, ik merk alleen nog niet veel verschil, maar wel handig. Vooral de securiy fixes. :)
Jammer dat er niet meer info over deze exploits wordt vermeld. Bij het aanmaken van bookmarks in mijn FF wordt de url vervangen door http://googleads.g.double.......p=oorspronkelijke_url
Ik vind dat gedrag nogal vreemd en vermoed dat er toch iets is geïnfecteerd. Op Google kan ik er weinig/niets over vinden. Heeft één van jullie een idee?
Deze update is bij mij niet gelukt. Na het updaten was er helemaal geen .exe bestand meer aanwezig in de installatiemap... Gelukkig nog wel een backup ervan, maar hier wil hij dus niet installeren (Win7 build 7000).
Firefox deïinstalleren, nieuwste versie downloaden en die installeren. Dat al geprobeert?
Ben je dan niet je profiel kwijt?
Zo ja, ff MozBackup eerst draaien dan ;)

[Reactie gewijzigd door _Thanatos_ op 29 maart 2009 23:23]

het werkt hier perfect!
mooi dat mozilla er zo vroeg bij is :)
Wat ik heel irritant vindt al ik mijn firefox heb geupdate dat er alleen maar een bericht staat met: Deze update maakt het web veiliger voor u. Ik weet het is voor de casual surfer een geruststelling dat het web hierdoor veiliger wordt maar ik zou er graag een simpele changelog bij hebben!
Het is een kleine moeite om even op hun site te krijgen, ze willen sommige mensen niet afschrikken met een changelog. Als hun verteld wordt dat het surfen wat veiliger is geworden is dat voor hun genoeg.

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True