Mozilla/Firefox kwetsbaarheid
Geplaatst: 01 aug 2004, 23:05
Het was te verwachten, maar ook de als maar in populariteit groeiende browser Mozilla/Firefox blijkt een lek te bevatten. Opvallend genoeg is het lek vergelijkbaar met een lek dat Secunia al eerder meldde, maar dan voor Internet Explorer, de standaard Microsoft browser.
Gecko, de rendering engine van zowel Mozilla, Netscape Navigator als Mozilla staan het includen van exteren XUL-code (XML User Interface Language) gewoon toe. Op deze manier kan een website ogenschijnlijk overgenomen worden. Men kan mits wat scripting gewoon eigen code injecteren in bestaande websites, zodat deze bonafide lijkt: zowel de url als de bron verraden niets vreemds. Secunia heeft een Proof-of-Concept klaar waarbij in de SSL-beveiligde PayPal-website eigen inhoud werd geïnjecteerd.
De kwetsbaarheid is voor versie 1.7 van Mozilla en versie 0.9.1 van Mozilla Firefox voor het Linux-platform vastgesteld. Voor Windows is het voor Mozilla 1.7.1 en Mozilla Firefox 0.9.2 vastgesteld en voorgaande versies kunnen ook gevaar lopen.
Een oplossing bestaat er in door je PC niet meer aan te zetten.
De aankondiging van Secunia
Gecko, de rendering engine van zowel Mozilla, Netscape Navigator als Mozilla staan het includen van exteren XUL-code (XML User Interface Language) gewoon toe. Op deze manier kan een website ogenschijnlijk overgenomen worden. Men kan mits wat scripting gewoon eigen code injecteren in bestaande websites, zodat deze bonafide lijkt: zowel de url als de bron verraden niets vreemds. Secunia heeft een Proof-of-Concept klaar waarbij in de SSL-beveiligde PayPal-website eigen inhoud werd geïnjecteerd.
De kwetsbaarheid is voor versie 1.7 van Mozilla en versie 0.9.1 van Mozilla Firefox voor het Linux-platform vastgesteld. Voor Windows is het voor Mozilla 1.7.1 en Mozilla Firefox 0.9.2 vastgesteld en voorgaande versies kunnen ook gevaar lopen.
Een oplossing bestaat er in door je PC niet meer aan te zetten.
De aankondiging van Secunia
: