Ernstige tapijtbom-lek in Firefox 2

Via twee ernstige beveiligingslekken in Firefox 2 was het mogelijk voor aanvallers om systemen met malware te infecteren of vertrouwelijke informatie te stelen. Ook e-mailclient Thunderbird is kwetsbaar, maar alleen als gebruikers JavaScript toestaan, iets wat standaard niet het geval is en wat Mozilla ook afraadt. Via het 34ste lek van dit jaar, een "overflowing CSS reference counter" kwetsbaarheid, kon een website de browser laten crashen waarna een aanvaller willekeurige code kon uitvoeren.

Het 35ste lek van dit jaar betrof een probleem met het verwerken van command-line URI's met een pipe ("|") symbool. Het lek zorgde ervoor dat een aanvaller URI's via een andere browser aan Firefox kon doorgeven. Scripts die in Firefox 2 via deze URI's worden aangeroepen, kunnen data van de hele harde schijf lezen. Dat zou een risico vormen als een aanvaller een kwaadaardig bestand op een voorspelbare locatie op de harde schijf zou plaatsen. Het script zou de malware dan aanroepen en uitvoeren. Dit was bijvoorbeeld mogelijk via het "tapijtbom-lek".

Beide kwetsbaarheden zijn gepatcht in Firefox 2.0.0.16, gebruikers wordt echter geadviseerd te upgraden naar Firefox 3, aangezien de ondersteuning van Firefox 2 over precies vijf maanden eindigt.

Lees verder op