Mozilla/Firefox kwetsbaarheid

[meon]

Het was te verwachten, maar ook de als maar in populariteit groeiende browser Mozilla/Firefox blijkt een lek te bevatten. Opvallend genoeg is het lek vergelijkbaar met een lek dat Secunia al eerder meldde, maar dan voor Internet Explorer, de standaard Microsoft browser.

Gecko, de rendering engine van zowel Mozilla, Netscape Navigator als Mozilla staan het includen van exteren XUL-code (XML User Interface Language) gewoon toe. Op deze manier kan een website ogenschijnlijk overgenomen worden. Men kan mits wat scripting gewoon eigen code injecteren in bestaande websites, zodat deze bonafide lijkt: zowel de url als de bron verraden niets vreemds. Secunia heeft een Proof-of-Concept klaar waarbij in de SSL-beveiligde PayPal-website eigen inhoud werd geïnjecteerd.

De kwetsbaarheid is voor versie 1.7 van Mozilla en versie 0.9.1 van Mozilla Firefox voor het Linux-platform vastgesteld. Voor Windows is het voor Mozilla 1.7.1 en Mozilla Firefox 0.9.2 vastgesteld en voorgaande versies kunnen ook gevaar lopen.

Een oplossing bestaat er in door je PC niet meer aan te zetten.

De aankondiging van Secunia

[Spock]

Sorry dat het openbaar gezegd moet worden maar mijn PB doet het niet meer :

"Euh stond er al eerder hoor! http://www.userbase.be/forum/viewtopic. ... ht=mozilla "

Greetz,

Pascal

[LinuxUser]

Tja alles bevat fouten maar bij IE worden ze alleen niet zo snel opgelost
en Firefox is ook gewoon handiger in gebruik

[img]http://www.mozilla.org/products
/firefox/buttons/getfirefox_large.png[/img]

If you're not using the fox of fire, you're not surfing the web, you're suffering it...