Firefox-bug laat browser crashen...

[gezina]

Firefox-bug laat browser crashen
Probleem levert geen veiligheidsrisico op

Beveiligingssite SecurityFocus waarschuwt dat oudere versies van de populaire Firefox-browser een bug bevatten, waardoor de browser crasht.

Een speciaal opgemaakte pagina, waarin bepaalde gegevens gesorteerd moeten worden, zorgt dat de browser in een eeuwigdurende handeling verzeild raakt. De browser crasht vervolgens of wordt onbruikbaar traag, meldt SecurityFocus.

Een korte test op de redactie van ZDNet bleek de crash eenvoudig te reproduceren, ook met de meest recente 1.0-versie. De crash is voornamelijk irritant en resulteert in een verplichte herstart van de browser, maar zou volgens de huidige gegevens niet verder te exploiteren zijn.

De Infinite Array Sort Denial Of Service Vulnerability, zoals het probleem is gedoopt, werd ontdekt door Berend-Jan Wever, student aan de Technische Universiteit Delft. Ook Internet Explorer zou met de oneindige sorteeractie op de knieën te dwingen zijn. Bron: ZDNet.nl

 

[gezina]

Een uitgebreider artikel van webwereld.nl

Javascript-code laat browsers crashen

Dinsdag, 30 november 2004 - Een script van slechts vier regels is genoeg om de populairste browsers zoals IE en Firefox te laten vastlopen. Een oplossing is er nog niet.

Het lek in de browsers is ontdekt en gepubliceerd door Nederlander Berend-Jan Wever. Met een heel simpele javascript-code is het mogelijk om de browsers Internet Explorer, Mozilla Browser, Mozilla Firefox, Opera en Apple Safari te laten vastlopen.

Het script maakt gebruik van het zogeheten Infinite Array Sort denial of service-lek. Wever heeft het lek gemeld op zijn website en op de publieke mailinglijsten Bugtraq en Full Disclosure. Tot nu toe hebben de softwaremakers nog geen oplossing voor het mankement.

Niet alleen de browsers vertonen nog onvolkomenheden. Ook Windows XP met Service Pack 2 is niet volledig veilig. * Inmiddels is een nieuwe code opgedoken om een lek in SP2 te misbruiken. Het gaat hierbij om een lek dat ontstaat als afbeeldingen op internet via de drag and drop-methode worden opgeslagen op een lokale pc.

In augustus werd al een code ontdekt om dit lek te misbruiken. Dit is later gepatcht door Microsoft. Met de nieuw ontdekte code wordt de beveiliging van die patch ondermijnd. De nieuwe code is, voor zover bekend, nog niet in de praktijk gebruikt om Windows-pc's binnen te dringen.

Al jaren wordt in beveiligingskringen de discussie gevoerd of lekken en codes wel gepubliceerd moeten worden voordat er een oplossing beschikbaar is. Critici menen dat het vroegtijdig publiceren onnodig onrust veroorzaakt en slechts bedoeld is om in de publiciteit te komen. Tegenstanders zijn echter van mening dat publicatie gerechtvaardigd is als de ernst van de lekken zo groot is.

* Eerder op Helpmij