Nieuw 'lek' in Firefox 2.0.0.12 lijkt slechts bug te zijn
Firefox 2.0.0.12 is net drie dagen uit en de Nederlander Ronald van den Heetkamp meldt alweer een lek in de Mozilla-browser. Of is het geen lek, maar een bug? Volgens Mozilla's Mike Shaver vergist Van den Heetkamp zich.
De Nederlandse beveiligingsonderzoeker Ronald van den Heetkamp maakte zaterdag bekend dat er een ernstig lek in de net verschenen Firefox 2.0.0.12 zit, aldus Security.nl. Door deze kwetsbaarheid zou een kwaadwillende via internet de lokale programmamap van Firefox kunnen bekijken op pc's van Firefox-gebruikers.
Dat is natuurlijk niet de bedoeling, maar is het wel een beveiligingslek? In de programmamap van Firefox (C:\Program Files\Mozilla Firefox) staat namelijk geen persoonlijke informatie als bladwijzers, wachtwoorden, formulierinformatie, cookies enzovoort. Die gegevens worden bewaard in de Documents and Setting-map van Windows en kwaadwillenden kunnen daar niet bij.
Mike Shaver, Director of Ecosystem Development bij Mozilla Corporation, spreekt dan ook van een bug, die echter geen veiligheidsrisico oplevert. Bovendien is deze bug in mei 2007 al gemeld door Sergey Vzloman.
Shaver denkt dat Van den Heetkamp zich simpelweg vergist:
In this case, it appears to me as though Ronald is simply mistaken. The files to which Ronald demonstrates access do not have the user’s settings, though he claims otherwise. Those files (the user’s data) are not stored in the Program Files hierarchy on Windows, or the equivalent on other operating systems. Instead, the preference files that he is showing in his “exploit” are ones that are defaults that are shipped with Firefox, and made freely available on the web. Again, these are not user settings, but defaults that are shipped with all copies of Firefox and contain no personal information.
Vervolgens trekt Shaver de reputatie van Van den Heetkamp enigszins in twijfel door een vorige foutieve melding van een kwetsbaarheid van zijn hand te noemen:
I don’t know if Ronald will issue an update to his post, as he did for a previous mistaken vulnerability report, but since the story has been taken at face value by Slashdot and likely others, I thought I’d post about it here.
Het lijkt er dus op dat het lek geen lek is maar een fout. Of tovert Van den Heetkamp toch nog een konijn uit de hoge hoed?
Bronnen: Mozilla Links | Blog Mike Shaver | Blog Ronald van den Heetkamp
GratisSoftware.nl
Reacties
wim66
12 februari 2008 - 13:02
Woordspelletjes.
Ze kunnen lullen wat ze willen, maar het is toch echt een informatie-lek.
Tot nog toe lijkt het er op dat het weinig kwaad kan, maar v.d. Heetkamp waarschuwt dat dit misschien wel eens ernstig kan blijken in combinatie met andere "bugjes".
Ze zouden het beter serieus nemen, voordat het wel iemand lukt om dit te misbruiken.
redactie
12 februari 2008 - 14:02
Vooralsnog is er echt geen sprake van een lek. Je kunt nu kijken of iemand Javascript aan heeft staan en dat soort dingen, maar dat kan altijd. Kijk maar eens op deze site en zie wat elke site van je kan achterhalen: gemal.dk/browserspy/
Geen enkele persoonlijke informatie als wachtwoorden, cookies, etc. kan worden achterhaald door deze bug. Het is alleen een bestand in de programmamap van Firefox dat gelezen kan worden - wat natuurlijk niet moet kunnen, laat dat duidelijk zijn - en geen bestanden in de Documents and Settings map.
Ik vind vooral de reactie van Van den Heetkamp nogal onduidelijk. Hij maakt groot bekend dat er een lek in Firefox zit, maar als ie tegenspraak krijgt weet ie niks te verduidelijken en schermt hij alleen met vage toespelingen op een mogelijk lek als er nog andere bugs ontdekt zouden worden. Dat is op zijn zachtst gezegd niet sterk.
Mozilla moet natuurlijk deze bug fixen, maar ik kan me voorstellen dat ze er van balen dat zoiets heel groot als ernstig beveiligingslek wordt gebracht terwijl dat gewoon niet waar is. Van den Heetkamp zal echt met meer aanwijzingen moeten komen mocht er toch iets zijn. Wat hij nu aangeeft stelt niks voor. En als er meer is moet ie dat gewoon zeggen in plaats van met vaagheden te schermen. Nu lijkt het er sterk op dat ie echt niet meer heeft.
Reageer