Nieuw 'IE'-lek in Firefox - update -

Door redactie op 26 juli 2007 - 00:07

Twee weken terug zaten er ernstige lekken in zowel Internet Explorer als Firefox. De combinatie van beide kwetsbaarheden zorgde ervoor dat kwaadaardige code kon worden uitgevoerd op de pc's van mensen die beide browsers gebruikten. Mozilla dichtte het Firefox-deel van het 'tweetraps-lek'. En Mozilla beschuldigde Microsoft van laksheid omdat het bedrijf de kwetsbaarheid in Internet Explorer niet oploste.

Nu blijkt dat er in Firefox een zelfde soort lek zit als in Internet Explorer, waardoor Firefox andere programma's kan lanceren om kwaadaardige code uit te laten voeren. Dit kan alleen door kwaadwillende sites te bezoeken die speciaal geprepareerd zijn om dit lek uit te buiten, dus het risico is vooralsnog niet heel groot. Er zijn namelijk nog geen sites bekend die zich richten op deze kwetsbaarheid, maar een van de ontdekkers van dit lek - de Deen Thor Larholm - heeft wel op zijn website de methode uiteengezet waarmee deze kwetsbaarheid geëxploiteerd kan worden. Een vergelijkbaar probleem in de wijze waarop Firefox andere programma's aanroept is gisteren gemeld door andere beveiligingsonderzoekers.

Mozilla werkt momenteel aan een oplossing voor de problemen. Verwacht wordt dat binnenkort Firefox 2.0.0.6 verschijnt, waarmee deze lekken gedicht worden. Microsoft heeft nog altijd niet laten weten of het de gelijksoortige kwetsbaarheid die in Internet Explorer zit zal verhelpen.

Update 27-7
Beveiligingsorganisatie Secunia schrijft dit URI-lek weer toe aan Internet Explorer, omdat deze browser uitgebuit kan worden door een onveilige link aan te klikken in Firefox. Secunia is daar wel consequent in, want twee weken terug legde het de schuld van het Internet Explorer-lek bij Firefox. De rollen zijn nu omgedraaid dus... De enige zinvolle conclusie is eigenlijk dat internet browsers kwetsbaar zijn (en blijven) en dat gevonden kwetsbaarheden zo snel mogelijk gepatcht moeten worden. Mozilla is bezig het nieuwe lek in Firefox op te lossen. Het wachten is nu op een reactie van Microsoft.

Update 31-7
Mozilla heeft het lek in Firefox gedicht met de uitgave van versie 2.0.0.6.

Lees de reactie van Mozilla op het probleem
Lees het blog van een van de eerste melders van dit probleem

Deel dit artikel: