Robke

Weblog

Lek in Mozilla-code

Op 1 augustus 2004 om 22u28 in Browsers.
6 reacties »

Er werd een serieus spoofinglek gevonden in de Gecko-code waaraan alle versies van Mozilla en Mozilla Firefox onderhevig zijn. Het laat toe XUL-code uit te voeren zonder dat die gecontroleerd wordt door Mozilla en dus onveilig kan zijn. Een voorbeeld vind je hier. Het imiteert een complete Mozilla Firefox interface met een valse PayPal-pagina, inclusief een SSL-verbinding (die er dus helemaal niet is). Zelfs de certificaateigenschappen kunnen worden nagebootst, want de complete Mozilla-interface wordt ook geregeld a.d.h.v. XUL.

Een soortgelijk lek werd een aantal maanden geleden gevonden in Internet Explorer. Als voorlopige oplossing wordt aangeraden niet op links te klikken… Waar hebben we dat nog gehoord. :p

Je hoort mij vast al komen maar dit is toch geen klein probleem. Na te letterlijk tientallen lekken in IE en nu het tweede serieuze voor Firefox, blijft Opera eerstes met slechts twee “lekjes” die nauwelijks het vermelden waard zijn: een grote favicon in de adresbalk waarmee je dus de inhoud ervan kon nabootsen door hem extreem breed te maken, en een veiligheidsprobleem met IFRAME’s. Deze waren ook opgelost de dag erna.

Update 05/08

In versie 0.9.3 blijkt deze exploit nog altijd niet opgelost.

6 reacties

  1. Robin op 1 augustus 2004 om 22u52:

    Mwuhahaha… I always thought XUL was evil… :p

  2. Fevertje op 1 augustus 2004 om 22u52:

    ‘t doet zeer om toe te geven, maar je hebt overschot van gelijk.

    Maar toch een opmerking voor de “verdediging” van ff: quote mozilla.org:
    Firefox 0.9 is the award winning preview of Mozilla’s next generation browser.
    Preview. Dus niet: “finished” of zoiets ;)

  3. Robin op 2 augustus 2004 om 0u25:

    Mozilla? Een technology preview? ;) :p
    Firefox ja, maar dan moeten ze het maar niet “verkopen” alsof het een final is. No offense, maar ik vind het gewoon een uitvlucht als Mozillans daar mee afkomen. :)

  4. Fevertje op 2 augustus 2004 om 1u41:

    Hij ziet toch alles he

  5. Pat Piti op 3 augustus 2004 om 20u32:

    Het lek als dusdanig vind ik niet zo erg en mensen als rObkE die zo prat gaan op de onfeilbaarheid van hun browser (in rObkE’s geval Opera) komen vroeg of laat in een zeer “humiliating” situatie. Want vroeg of laat komt er ook een bug opgedoken in hun favoriete software, daar ben ik van overtuigd. De manier waarop de community reageert vind ik dus veel erger: die blindstarende menigte ff gebruikers keert mij en ik vermoed nog andere niet ff-gebruikers een beetje af.90 % van de opmerkingen is van de aard “helemaal niet zo erg” of “IE had dat ook”, bla bla. Firefox wordt uit alle macht verdedigd en daarbij worden non argumenten niet bepaald geschuwd. Ook al is het zo een enorm gevaarlijke situatie als die die rObkE hierboven aanhaalt.

  6. Robin op 3 augustus 2004 om 21u12:

    Tuurlijk zaten er ook bugs in Opera, maar geen die ze 5 jaar geleden aangekondigd hebben en nu nog niet gefixed hebben. :D
    Maar het doodzwijgen van zo’n fout is dus inderdaad niet leuk…