rObkE

Er werd een serieus spoofinglek gevonden in de Gecko-code waaraan alle versies van Mozilla en Mozilla Firefox onderhevig zijn. Het laat toe XUL-code uit te voeren zonder dat die gecontroleerd wordt door Mozilla en dus onveilig kan zijn. Het imiteert een complete Mozilla Firefox interface met een valse PayPal-pagina, inclusief een SSL-verbinding (die er dus helemaal niet is). Zelfs de certificaateigenschappen kunnen worden nagebootst, want de complete Mozilla-interface wordt ook geregeld a.d.h.v. XUL.

Een soortgelijk lek werd een aantal maanden geleden gevonden in Internet Explorer. Als voorlopige oplossing wordt aangeraden niet op links te klikken... Waar hebben we dat nog gehoord.

Je hoort mij vast al komen maar dit is toch geen klein probleem. Na te letterlijk tientallen lekken in IE en nu het tweede serieuze voor Firefox, blijft Opera eerstes met slechts twee “lekjes” die nauwelijks het vermelden waard zijn: een grote favicon in de adresbalk waarmee je dus de inhoud ervan kon nabootsen door hem extreem breed te maken, en een veiligheidsprobleem met IFRAME's. Deze waren ook opgelost de dag erna.

Update

In versie 0.9.3 blijkt deze exploit nog altijd niet opgelost.