Security lek in Mozilla Thunderbird en Firefox
Security.nl: Joshua Perrymon heeft een lek in Mozilla, Mozilla Firefox en Mozilla Thunderbird ontdekt, waardoor kwaadaardige websites de Windows "shell:" functionaliteit kunnen gebruiken. Het probleem is dat Mozilla de toegang tot de "shell:" URI handler niet beperkt. Dit stelt websites in staat om verschillende programma's, die met specifieke extenties geassocieerd zijn, aan te roepen. Het is alleen mogelijk om bestandsnamen, en geen parameters, aan deze programma's door te geven, waardoor het starten van applicaties beperkt wordt. Wordt de bug met een fout of lek in een geassocieerd programma gecombineerd, dan zou het mogelijk zijn om willekeurige code uit te voeren. Volgens *) Secunia hoeft de bug niet persé als een lek gezien te worden. Het "lek" is alleen aanwezig in de Windows versies van de betreffende programma's, Mac en Linux gebruikers hoeven geen actie te ondernemen. Meer informatie en patches kunnen op deze pagina gevonden worden.
*) Solution:
This has been fixed in the following versions:
Mozilla 1.7.1
http://ftp.mozilla.org/pub/mozil...ozilla-win32-1.7.1-installer.exe
Mozilla Firefox 0.9.2
http://ftp.mozilla.org/pub/mozil...ses/0.9.2/FirefoxSetup-0.9.2.exe
Mozilla Thunderbird 0.7.2
http://ftp.mozilla.org/pub/mozil...0.7.2/ThunderbirdSetup-0.7.2.exe
Mozbrowser.nl: "Het was vandaag al te lezen op de site van *) MozillaZine: een nieuwe release van Firefox, Thunderbird en Mozilla Suite zou aanstaande zijn, en die versies Firefox (0.9.2), Thunderbird (0.7.2) en Mozilla (1.7.1) liggen nu dan ook daadwerkelijk op de mat. De snelle releases hebben te maken met een lek dat op deze manier is gedicht. Als je versie 0.9.1 van Firefox hebt, volstaat het om de patch XPI te downloaden of de preference setting te veranderen."
*) MozillaZine
Zie ook: waarschuwingsdienst.nl + zdnet.nl
Security.nl: Joshua Perrymon heeft een lek in Mozilla, Mozilla Firefox en Mozilla Thunderbird ontdekt, waardoor kwaadaardige websites de Windows "shell:" functionaliteit kunnen gebruiken. Het probleem is dat Mozilla de toegang tot de "shell:" URI handler niet beperkt. Dit stelt websites in staat om verschillende programma's, die met specifieke extenties geassocieerd zijn, aan te roepen. Het is alleen mogelijk om bestandsnamen, en geen parameters, aan deze programma's door te geven, waardoor het starten van applicaties beperkt wordt. Wordt de bug met een fout of lek in een geassocieerd programma gecombineerd, dan zou het mogelijk zijn om willekeurige code uit te voeren. Volgens *) Secunia hoeft de bug niet persé als een lek gezien te worden. Het "lek" is alleen aanwezig in de Windows versies van de betreffende programma's, Mac en Linux gebruikers hoeven geen actie te ondernemen. Meer informatie en patches kunnen op deze pagina gevonden worden.
*) Solution:
This has been fixed in the following versions:
Mozilla 1.7.1
http://ftp.mozilla.org/pub/mozil...ozilla-win32-1.7.1-installer.exe
Mozilla Firefox 0.9.2
http://ftp.mozilla.org/pub/mozil...ses/0.9.2/FirefoxSetup-0.9.2.exe
Mozilla Thunderbird 0.7.2
http://ftp.mozilla.org/pub/mozil...0.7.2/ThunderbirdSetup-0.7.2.exe
Mozbrowser.nl: "Het was vandaag al te lezen op de site van *) MozillaZine: een nieuwe release van Firefox, Thunderbird en Mozilla Suite zou aanstaande zijn, en die versies Firefox (0.9.2), Thunderbird (0.7.2) en Mozilla (1.7.1) liggen nu dan ook daadwerkelijk op de mat. De snelle releases hebben te maken met een lek dat op deze manier is gedicht. Als je versie 0.9.1 van Firefox hebt, volstaat het om de patch XPI te downloaden of de preference setting te veranderen."
*) MozillaZine
Zie ook: waarschuwingsdienst.nl + zdnet.nl
Laatst bewerkt:
Nou ja, patchen maar weer 
