donderdag 19 juli 2007

Mozilla repareert Firefox/IE-lek


De Mozilla Foundation heeft acht lekken in Firefox gedicht. Eén daarvan maakte het mogelijk om van afstand kwaadaardige code uit te voeren op computers waarop ook Internet Explorer is geïnstalleerd.

De kwetsbaarheid ontstaat wanneer een gebruiker in Internet Explorer naar een malafide webpagina gaat en daar op een speciaal vervaardigde link klikt, legt Mozilla uit . Internet Explorer start dan een ander programma via de command line, en vervolgens stuurt dat programma de URL van de bewuste webpagina door, zonder de input te valideren.

Firefox en Thunderbird behoren tot de programma's die op deze manier kunnen worden misbruikt om code binnen te smokkelen. Met de release van Firefox 2.0.0.5 en Thunderbird 2.0.0.5 heeft Mozilla daar een stokje voor gestoken. Firefox 2-gebruikers ontvangen de patch via het ingebouwde software-updatesysteem van de applicatie.
De stichting waarschuwt echter: "Deze pleister voorkomt alleen dat Firefox en Thunderbird kwaadaardige data accepteren. Deze patch repareert niet de kwetsbaarheid in Internet Explorer." Andere programma's zouden dus ook op deze manier kunnen worden opgeroepen door Microsofts browser, en op die manier door een hacker worden misbruikt.

De afgelopen week is er een discussie geweest wie verantwoordelijk is voor het beveiligingsprobleem. Mozilla houdt klaarblijkelijk vol dat dit een probleem is in Internet Explorer. De ontdekker van het lek, beveiligingsexpert Thor Larholm, is die mening ook toegedaan. Anderen brengen hier tegenin dat het de taak van Firefox is om inkomende data grondig te onderzoeken. Versie 2.0.0.5 doet dat.

Geen opmerkingen: