Eerste lek in Firefox 1.5 ontdekt inclusief PoC exploit
Amper een week na het verschijnen van de nieuwste Firefox versie is er een lek in de open-source browser gevonden waardoor een aanvaller een buffer overflow of een denial of service zou kunnen veroorzaken. Er is inmiddels "proof-of-concept" code verschenen om het lek te misbruiken.
Het probleem zit hem in het history.dat bestand, dat informatie van bezochte websites opslaat. Als het onderwerp van een pagina lang genoeg is, dan zal de browser elke keer crashen nadat zo'n pagina bezocht is. De browser kan daarna alleen nog worden gestart als het history.dat bestand met de hand wordt verwijderd. Het zou zelfs mogelijk zijn dat een aanvaller het onderwerp kan gebruiken voor het installeren van malware op de machine.
Voor het lek is nog geen patch beschikbaar, maar door naar Tools -> Options te gaan, en dan via het Privacy icoontje het opslaan van de History op 0 dagen te zetten, zou het probleem verholpen kunnen worden. (ISC) security.nl
*UPDATE*
Mozilla: Firefox 1.5 exploit stelt niet veel voor
En vandaag meldt security.nl: Gisteren werd het eerste lek in de nieuwe Firefox gemeld. Volgens de onderzoeker zou een aanvaller hierdoor een Denial of Service kunnen veroorzaken, en mogelijk zelfs remote code kunnen uitvoeren. De Mozilla Foundation is echter niet onder de indruk van het lek, en noemt het eerder een ergernis dan een serieus security lek.
Onderzoek van de Mozilla Foundation wijst verder uit dat het lek niet gebruikt kan worden om code op een kwetsbaar systeem uit te voeren. De DoS situatie kon wel worden gereproduceerd, maar een blik op de broncode wees uit dat het niet ernstig is. "Op dit moment hebben we geen bevestigd bewijs dat dit meer is dan alleen een vervelende denial-of-service aanval" zegt Mozilla's Mike Schroepfer.
Amper een week na het verschijnen van de nieuwste Firefox versie is er een lek in de open-source browser gevonden waardoor een aanvaller een buffer overflow of een denial of service zou kunnen veroorzaken. Er is inmiddels "proof-of-concept" code verschenen om het lek te misbruiken.
Het probleem zit hem in het history.dat bestand, dat informatie van bezochte websites opslaat. Als het onderwerp van een pagina lang genoeg is, dan zal de browser elke keer crashen nadat zo'n pagina bezocht is. De browser kan daarna alleen nog worden gestart als het history.dat bestand met de hand wordt verwijderd. Het zou zelfs mogelijk zijn dat een aanvaller het onderwerp kan gebruiken voor het installeren van malware op de machine.
Voor het lek is nog geen patch beschikbaar, maar door naar Tools -> Options te gaan, en dan via het Privacy icoontje het opslaan van de History op 0 dagen te zetten, zou het probleem verholpen kunnen worden. (ISC) security.nl
*UPDATE*
Mozilla: Firefox 1.5 exploit stelt niet veel voor
En vandaag meldt security.nl: Gisteren werd het eerste lek in de nieuwe Firefox gemeld. Volgens de onderzoeker zou een aanvaller hierdoor een Denial of Service kunnen veroorzaken, en mogelijk zelfs remote code kunnen uitvoeren. De Mozilla Foundation is echter niet onder de indruk van het lek, en noemt het eerder een ergernis dan een serieus security lek.
Onderzoek van de Mozilla Foundation wijst verder uit dat het lek niet gebruikt kan worden om code op een kwetsbaar systeem uit te voeren. De DoS situatie kon wel worden gereproduceerd, maar een blik op de broncode wees uit dat het niet ernstig is. "Op dit moment hebben we geen bevestigd bewijs dat dit meer is dan alleen een vervelende denial-of-service aanval" zegt Mozilla's Mike Schroepfer.
Laatst bewerkt:
