Gezamenlijk lek Internet Explorer en Firefox

Door redactie op 11 juli 2007 - 00:07

Wie had ooit gedacht dat concurrenten Internet Explorer en Firefox nog eens innig zouden samenwerken? Helaas betreft het hier wel een gevaarlijke coöperatie, het gaat namelijk om een beveiligingslek dat via beide browsers kan worden uitgebuit. De vraag is wie de hoofdschuldige is: Internet Explorer of Firefox? En belangrijker: wat kunt u er tegen doen?

Er is een ernstig lek ontdekt voor Windowsgebruikers die zowel Internet Explorer als Firefox gebruiken. Door met Internet Explorer naar een kwaadwillende site te surfen die misbruik wil maken van deze kwetsbaarheid kunnen systeem-instellingen zo worden gewijzigd dat met Firefox schadelijke code kan worden uitgevoerd. Een tweetraps-lek zogezegd.

De kwetsbaarheid bestaat eruit dat Internet Explorer niks doet om te voorkomen dat Firefox misbruikt wordt en Firefox niks doet om dit weer tegen te gaan.

Schuldvraag
Wie is dus de schuldige hieraan: Internet Explorer of Firefox? Beide voor een deel, lijkt het antwoord. De ontdekker van de kwetsbaarheid, Thor Larholm, en beveiligingsgigant Symantec geven de schuld meer aan Internet Explorer, maar beveiligingsonderzoeker Secunia stelt dat Firefox meer te verwijten valt. Wie de hoofdschuldige is valt dus moeilijk te zeggen, maar beide browsers veroorzaken het probleem. Zoveel is duidelijk.

Oplossing
Een betere vraag is wat u kunt doen om zo min mogelijk risico te lopen. De antwoorden zijn vooralsnog de volgende (er zijn nog geen updates door Mozilla of Microsoft uitgebracht voor deze gisteren ontdekte lekken).

Algemeen:

bezoek met Internet Explorer en Firefox geen onbekende/kwaadaardige sites
Voor Firefox-gebruikers:
gebruik geen Internet Explorer meer, maar alleen Firefox (dan kan de eerste stap die tot misbruik leidt niet genomen worden)schakel de "firefoxurl://" URI handler uit (alleen voor gevorderden, niet aanbevolen!)
De beste oplossing lijkt om voorlopig alleen met Firefox te internetten en te wachten op een update van Firefox.

Update
Mozilla's beveiligingschef Window Snyder erkent het probleem en stelt dat binnenkort Firefox 2.0.0.5 uitgebracht zal worden om Firefox' deel van de kwetsbaarheid op te lossen. Volgens ZDNet is Microsoft voorlopig niet van plan om een patch uit te brengen.
Snyder benadrukt verder dat mensen die alleen met Firefox surfen zich geen zorgen hoeven te maken. Zolang ze geen Internet Explorer gebruiken zijn ze niet kwetsbaar voor dit lek.

Update 18 juli 2007
Het lek in Firefox is inmiddels gedicht door de update naar Firefox 2.0.0.5. Microsoft heeft geen patch uitgebracht voor de kwetsbaarheid in Internet Explorer.

Bronnen
Symantec geeft Internet Explorer de schuld
Ontdekker Thor Larholm geeft Internet Explorer ook de schuld
Secunia geeft Firefox de schuld
Lees meer informatie bij CNet
Mozilla erkent het probleem

Deel dit artikel: