ArsLP Geplaatst: 18 oktober 2005 Geplaatst: 18 oktober 2005 Ik kwam dit tegen en vond het toch belangrijk om het te melden. Bug krijgt Firefox op de knieën Fout in rendering html-code Een probleem in de wijze waarop Mozilla-software Thunderbird en Firefox html-code weergeven, blijkt misbruikt te kunnen worden om het mailprogramma en de browser te laten crashen. De fout werd het eerst opgemerkt door milw0rm.com, een site waarop lekken in software worden verzameld. Beveiligingssite Whitedust schreef er gisteren een uitgebreidere toelichting op. Inmiddels is de exploit ook in andere media opgemerkt. Het probleem in de rendering van de code levert geen direct veiligheidsrisico op, al is er het gevaar dat informatie verloren gaat als de browser of het mailprogramma onverwacht crasht. Door een pagina op te roepen die op een speciale manier is opgemaakt, wordt de browser of het mailprogramma vrijwel direct op de knieën gedwongen. De software vraagt per direct 100 procent van de processorkracht, waardoor de applicatie vastloopt - een klassieke denial of service dus. De fout zit ook in de laatste versies van Thunderbird (1.06) en Firefox (1.07). Ook de browsersuite Mozilla 1.7.12 is kwetsbaar. Volgens Whitedust is de jongste Firefox-bèta (1.5 bèta 2) niet gevoelig voor het probleem, waarvoor momenteel geen patch bestaat. De menging van de html-code <sourcetext> met andere html-opmaak levert per direct een volledige processorbelasting op, waarna alleen het afsluiten van Thunderbird of Firefox nog rest. Officieel heeft de Mozilla Foundation, die de producten maakt, nog niet op het bestaan van deze reproduceerbare fout gereageerd. Wie wil zien of de browser bestand is tegen deze exploitatie, kan zijn browser naar deze demonstratie verwijzen. Let op: zorg dat alle belangrijke informatie is opgeslagen, voordat u die link volgt. Dit is de link; http://www.milw0rm.com/exploit.php?id=1253 [color:"red"]!!!!De test op kwetsbaarheid gebeurt namelijk op eigen risico!!!![/color] Bron: ZDNet 18-10-2005 Ik zelf heb niet op de link gedrukt, ik durf het om eerlijk te zeggen ook niet. Nu maar afwachten wanneer Mozilla met een update komt die dit verhelpt. Gr, pribo. <img src="/forums/images/graemlins/confused.gif" alt="" /> Met vriendelijke groet, Leo.
Gast Geplaatst: 18 oktober 2005 Geplaatst: 18 oktober 2005 Ja, hij loopt vast. Firefox icm Fedora core 2. Nouja, boeit niet. <img src="/forums/images/graemlins/biggthumpup.gif" alt="" />
Teuniz Geplaatst: 18 oktober 2005 Geplaatst: 18 oktober 2005 Hier hetzelfde met FF 1.07 en KDE 3.4 De Mozilla foundation kennende zal er snel genoeg een oplossing voor komen. Verder lijkt deze bug me niet echt gevaarlijk. /********************************************/ /* Dreambox 7025+ DVB-S & DVB-C tuner */ /* Stab HH100 rotor */ /********************************************/
pippen2 Geplaatst: 18 oktober 2005 Geplaatst: 18 oktober 2005 Toch grappig iedere keer: als IE met zoiets over de nek gaat, is het altijd van "zie je nou wel hoe slecht het is", maar als het met Firefox is, dan is het van "ach ja, boeit niet" <img src="/forums/images/graemlins/smile.gif" alt="" />.
ArsLP Geplaatst: 18 oktober 2005 Auteur Geplaatst: 18 oktober 2005 Citaat: Toch grappig iedere keer: als IE met zoiets over de nek gaat, is het altijd van "zie je nou wel hoe slecht het is", maar als het met Firefox is, dan is het van "ach ja, boeit niet" <img src="/forums/images/graemlins/smile.gif" alt="" />. Dat komt waarschijnlijk dat Mozilla sneller met een oplossing komt dan Microsoft. Denk ik hoor? Gr, pribo. <img src="/forums/images/graemlins/laugh.gif" alt="" /> Met vriendelijke groet, Leo.
theparasol Geplaatst: 18 oktober 2005 Geplaatst: 18 oktober 2005 Men is zo dankbaar voor een alternatief dat men de aanwezige bugs graag voor lief neemt. Als er ook maar 1 euro voor afgecashed is dan moet het allemaal perfect draaien. Ze moesten die exploit zoekers allemaal afsluiten van internet en rechten om software te (mis)gebruiken afpakken. Wellicht dat ik het verkeerd bekijk maar op het moment dat een exploit wereldkundig wordt gemaakt ondervinden de echte gebruikers pas hinder doordat er altijd een clubje is wat de exploits doelbewust gaan misbruiken. Kijk eens wat ik kan!
Gast Geplaatst: 18 oktober 2005 Geplaatst: 18 oktober 2005 wees blij dat sommige mensen het wereldkundig maken, en niet zelf gaan exploiteren. Neem aan dat je het verschil kent tussen hackers en crackers.
Gast Geplaatst: 18 oktober 2005 Geplaatst: 18 oktober 2005 Dat kan, maar ik denk dat het wat anders is. IE gebruikers hebben daar zelf niet voor gekozen (over het algemeen <img src="/forums/images/graemlins/wink.gif" alt="" />). Daar zal je dus geen positieve geluiden over horen, men heeft geen vergelijkingsmateriaal. Firefoxgebruikers hebben erover nagedacht, en kwamen tot de conclusie dat FF handiger/beter/whatever is. Daarom zijn FF gebruikers over het algemeen positiever gestemd over hun product als IE, en daarom krijgt IE de negatieve lading altijd.
theparasol Geplaatst: 18 oktober 2005 Geplaatst: 18 oktober 2005 verschil tussen hackers en crackers? Een hacker verkrijgt onrechtmatig toegang / rechten tot een afgeschermd systeem en een cracker sloopt de kopieerbeveiliging van een stukje software. Nou dat is op schotelgebied toch ook? Een aantal zeer knappe koppen doorgronden een coderingsysteem XX en maken dit wereldkundig (exploit). Vervolgens gaat er een klein clubje bezig met kleingeld maken van de exploit. En in notime werkt de exploit niet meer. Er gebeuren pas echt ongelukken als de exploit zo perfect is dat het niet meer via truukje gebeurt maar op analoge wijze als de provider zelf kaarten uitgeeft. Zie je bij shareware ook. Een te perfecte keygen is een exacte copy van de keygen van de softwaremaker zelf. Hij moet dan zijn codering aanpassen om zijn broodwinning veilig te stellen. Crackers heb ik weinig respect voor, een beetje programmacode lopen patchen. Komt erop neer dat je gewoon het slot uit de deur schiet. Anyway, ik dwaal af. Ik zie het nut er gewoon niet van in van dat eeuwige gespeur naar exploits. Het kost een bedrijf veel resources die anders ingezet hadden kunnen worden voor innovatie van hun producten. Jammer van de tijd en geld.
Pionewbie Geplaatst: 19 oktober 2005 Geplaatst: 19 oktober 2005 [Offtopic] Citaat: Ik zie het nut er gewoon niet van in van dat eeuwige gespeur naar exploits. Het kost een bedrijf veel resources die anders ingezet hadden kunnen worden voor innovatie van hun producten. Jammer van de tijd en geld. Dus je kunt beter de put dempen als het kalf verdronken is. Crashtest met auto's hoeft niet. Wij ontdekken na een tijdje wel waar er problemen zijn. Banken hoeven niet te zoeken naar potentiële lekken in hun beveiliging. Die komen vanzelf wel aan het licht. Etc. Oke, dit zijn zaken van een ander caliber, maar toch. Producten worden steeds sneller in de markt gezet. De uitroldatum ligt al vast voor er aan de ontwikkeling is begonnen. En het gedegen testen schiet er vaak bij in. Resultaat: ergernis en onveilígheid. Kijk maar eens naar het aantal producten dat van nieuwe software of onderdelen moet worden voorzien omdat het niet goed, of niet veilig werkt. Er zijn dan ook steeds meer terugroep en omruilacties. Je mag een goede en veilige werking van producten niet opofferen aan innovatie. Dat is de verkeerde weg die helaas steeds vaker bewandeld wordt. [/Offtopic]
Gast Geplaatst: 19 oktober 2005 Geplaatst: 19 oktober 2005 Hackers zijn mensen die proberen aan te tonen dat onmogelijk veronderstelde dingen toch mogelijk zijn. Kraken van onkraakbare encryptie technologien, inbreken op een 100% veilig verondersteld systeem. Crackers zijn hackers (of meestal scriptkiddies die de resultaten van hackers gebruiken) die deze kennis tenslotte gebruiken om anderen schade toe te brengen.
Gast Geplaatst: 19 oktober 2005 Geplaatst: 19 oktober 2005 Citaat: Toch grappig iedere keer: als IE met zoiets over de nek gaat, is het altijd van "zie je nou wel hoe slecht het is", maar als het met Firefox is, dan is het van "ach ja, boeit niet" <img src="/forums/images/graemlins/smile.gif" alt="" />. Omdat dit geen beveiligingslek is.
pippen2 Geplaatst: 19 oktober 2005 Geplaatst: 19 oktober 2005 Dit soort fouten (dus geen beveiligingslek) zijn ook wel eens bij IE ontdekt. Toch zijn dan de reacties heel anders.
Teuniz Geplaatst: 19 oktober 2005 Geplaatst: 19 oktober 2005 Globaal kun je stellen dat er meer kritiek is op IE om de volgende redenen: - het wordt verplicht geinstalleerd (als je de pech hebt dat je windows moet gebruiken), je kunt het ook niet de-installeren, je hebt het ook nodig om windows te updaten - IE is diep verweven met het OS, een bug of lek kan sneller grote gevolgen hebben dan een gewone applicatie - IE is jarenlang nauwelijks bijgepoetst (totdat er enige vorm van concurrentie kwam o.a. door FF) - IE houdt zich niet aan de webstandaarden, een doorn in het oog voor sommige mensen - security-patches laten vaak lang op zich wachten - last but not least, de gemiddelde gebruiker (niet de whizkids) heeft een stuk minder last van add- en spyware en virussen wanneer er met FF gesurft wordt i.p.v. IE. /********************************************/ /* Dreambox 7025+ DVB-S & DVB-C tuner */ /* Stab HH100 rotor */ /********************************************/
Aanbevolen berichten
Maak een account aan of log in om te reageren
Je moet een lid zijn om een reactie te kunnen achterlaten
Account aanmaken
Registreer voor een nieuwe account in onze community. Het is erg gemakkelijk!
Registreer een nieuwe accountInloggen
Heb je reeds een account? Log hier in.
Nu inloggen