finalplayer
wzl-lid
Sinds 28/10/2003
T: 71
R: 610
|
8/2/2005 -
15:37u
| Quote
|
Firedragging, Firetabbing en Fireflashing
De Windows-versies van Firefox 1.0 en Mozilla 1.7.5 bevatten drie lekken, stelt een Duitse onderzoeker. Hij geeft op zijn website demonstraties van de geconstateerde problemen. Veiligheidsexpert Michael Krax noemt zijn ontdekkingen Firedragging, Firetabbing en Fireflashing. De techsite Heise bericht over de details van elk probleem.
Firedragging is een zwakke plek in de controle van bestanden die vanuit de browser naar de desktop gesleept worden. Firefox en Mozilla staan dat alleen toe als het om grafische bestanden gaat. Wanneer het om uitvoerbare data gaat, zoals programmaatjes, resulteert het alleen in een tekstlink op de desktop.
Het blijkt echter dat Firefox en Mozilla niet controleren of een bestand mogelijk hybride is. Zo kan iets in de browser een afbeelding lijken, maar uitvoerbare code opleveren wanneer het naar de desktop wordt gesleept. Kwaadwillenden kunnen zo gevaarlijke code op de computer brengen.
Firetabbing is een manipulatie van de tabbed browsing functionaliteit in combinatie met javascript. Het uitbuiten van het lek is erg omslachtig (een site moet in een reeds bestaand tabblad worden gesleept) maar kan onder bepaalde omstandigheden leiden tot een herconfiguratie (!) van de browserinstellingen.
Fireflashing draait, zoals de naam doet vermoeden, om de weergave van Flash in Firefox. Door een onzichtbaar frame weer te geven in een Flash-animatie (met daarin de pagina about:config, waar alle browserinstellingen zich bevinden) kan de werking van de browser worden verstoord.
Wie denkt in een leeg veld te hebben geklikt, schakelde in werkelijkheid een parameter om. Ook deze exploitatie is complex, maar niettemin potentieel gevaarlijk.
In de zogenaamde nightly builds (officieuze versies van software) zijn de problemen verholpen, maar het duurt waarschijnlijk tot Firefox 1.0.1 voordat ze ook officieel tot het verleden behoren. Wanneer deze versie uitkomt, is momenteel nog niet bekend.
Bron: ZDNet
|
WishMaster
[mod] 666
Sinds 26/2/2003
T:99 -
R:2018
|
8/2/2005 -
18:29u
| Quote
|
|
Mja, da is een fout zoeken om er een te zoeken eh...
|
Dj Fre
wzl-lid
Sinds 13/12/2003
T:71 -
R:1690
|
8/2/2005 -
23:13u
| Quote
|
agree with Wishmaster...
maar ondertussen weet ik ook van de functie van Filedragging, kwist zelf nie da da kon 
|
Paff Daddy
wzl-lid
Sinds 10/9/2003
T:33 -
R:1784
|
9/2/2005 -
9:24u
| Quote
|
punt 1 filedragging: da doe ik nie
punt 2 firetabbing: een link of afbeelding naar de tabbar slepen....damn (doe ik dus ook ni)
punt 3 fireflashing: is wrs et enige van de 3 die echt meerdere mensen treft en die mss ook iet kan uitsteken.
mijn eerste reactie was: MAAR 3 --> beat this IE!!!
@WM: zoeken om te zoeken: heeft wel zijn voordelen é, zo zijn ze nu al opgelost
|
dionysos
wzl-lid
Sinds 26/9/2004
T:9 -
R:501
|
10/2/2005 -
0:23u
| Quote
|
|
er komen wel updates hé
|
Drazen
wzl-lid
Sinds 26/1/2005
T:2 -
R:42
|
11/2/2005 -
11:17u
| Quote
|
Paff Daddy schreef:
mijn eerste reactie was: MAAR 3 --> beat this IE!!!
²
|
