Zero-day lek in Firefox wordt uitgebuit via Nobelprijs website

Mozilla heeft bekendgemaakt dat er een ernstig lek in Firefox zit dat al actief uitgebuit wordt door kwaadwillenden. Via onder andere de Nobel vredesprijs website (!) wordt malware geïnstalleerd op de pc's van Firefox-gebruikers. Mozilla is druk bezig om een beveiligingsupdate te prepareren.

Het nieuwe zero-day-lek in Firefox werd ontdekt via de website van de Nobel vredesprijs! Via deze site werd malware op de computers van Firefox-gebruikers geïnstalleerd. Klaarblijkelijk was de website dus gekaapt door internet criminelen (onduidelijk is of de site nu weer schoon is). De malware-bescherming in Firefox blokkeert inmiddels de Nobelprijs-site, maar het is niet bekend of nog meer sites proberen het lek in Firefox te gebruiken.

Totdat Mozilla met een update komt (die een dezer dagen zal verschijnen) is het raadzaam om voorlopig JavaScript uit te schakelen in Firefox (Via menu Extra | Opties | Inhoud - vinkje weghalen bij JavaScript inschakelen. Niet vergeten om weer aan te zetten nadat er een beveiliginsupdate is gekomen!) of tijdelijk een andere browser (Google Chrome of Opera zijn goede alternatieven) te gebruiken.

Het lek zorgt ervoor dat malware geïnstalleerd kan worden op de pc's van Firefox-gebruikers die besmette of kwaadaardige websites bezoeken. Deze pc's kunnen vervolgens in een zombie-netwerk gecontroleerd worden door internet criminelen voor andere doeleinden.

Onduidelijk is wie achter de malware zit. De Nobel vredesprijs is dit jaar gewonnen door de Chinese dissident Liu Xiaobo. Dat precies de Nobelprijs-website gekraakt is zou misschien een aanwijzing kunnen zijn...

Update 28 oktober 2010 Firefox 3.6.12 lost binnen een dag het zeer ernstige beveiligingslek op: u kunt weer veilig surfen - vergeet niet JavaScript weer aan te zetten

Bron: Mozilla Securiy Blog