« Allahs döttrar | Startsidan | Elcertifikat »
augusti 03, 2004
Säkerhetslucka i Mozilla
There's a funny little trend going on here, one that most of you are probably trying to ignore: as users move away from Internet Explorer and towards a different browser, that browser suddenly starts to accumulate exploits at an increased rate.
Detta ovan skriver Eric på Geek.com. Jag är benägen att hålla med honom. Alla de år jag tuffat på med Netscape, från första versionen till 7.* har jag aldrig behövt patcha den browsern. Jag har lugnt kunnat koppla av och småle lite åt alla panikpatchar användarna av Internet Explorer fått tanka ned och installera genom åren. Det kan jag inte längre tydligen eftersom jag gått över till Mozilla. Jag mår illa tänkte jag nästan skriva :)). Det rimmade så bra. Fullt så farligt är det inte. Men utvecklingen oroar mig.
I takt med att användningen av Mozilla och Firefox ökar verkar benägenheten att hitta säkerhetshål i dessa brynare vara mer intressant än tidigare. Jag har svårt att avgöra om det beror på att de är sämre än Netscape rent säkerhetsmässigt eller att koden börjar bli så komplicerad och avancerad att det öppnar upp för detta?
En nyupptäckt säkerhetslucka i Mozilla och Firefox gör det möjligt för en angripare att förfalska brynarens gränssnitt.
Saxat ur artikeln ovan:
Sårbarheten har att göra med möjligheten att använda olika utseenden, eller "skins" på webbläsargränssnitten. Gränssnitten kan skräddarsys efter användarens önskemål genom att XUL-filer (XML User interface Language) används. Problemet är att varken Mozilla eller Firefox hindrar webbsidor från att implementera egna XUL-filer. En hackare kan därför konstruera en webbsida med en XUL-fil som i den angripna webbläsaren visar falska dialogrutor för exempelvis säkerhetscertifikat, med möjlighet att skicka inmatade information vidare.
Jag anser att denna möjlighet att välja utseende bara är fråga om kosmetika och om det nu kan utnyttjas av hackare så borde Mozilla-gänget snarast se till att man kan avaktivera möjligheten att använda olika utseenden och därmed hindra obehöriga att kasta in egna XUL-filer i brynaren; eller fixa problemet så snart som det bara är möjligt. Jag skulle klara mig utan denna funktion och använder Classic per default. Just i skrivande stund verkar ingen patch finnas. Jag hittar inte ens info på Mozillas sajt om detta nya problem som säkerhetsföretaget Secunia har hittat.
Mozilla Foundation har dragit igång en kampanj där användare uppmanas att hitta kritiska säkerhetsluckor i företagets applikationer. De som hittar några får ekonomisk ersättning. Kanske något för Microsoft att ta efter?
Så länge inte detta är fixat. Följ inga underliga skumma länkar. Håll dig på de upplysta gatorna på Internet. Det är för övrigt ett gott råd i vanliga fall också :).
// Annica Tiger
Postat av Annica Tiger augusti 3, 2004 05:46 EM
Kommentarer
Tack för all info och hjälp Patrik! Säkert till nytta för många och framförallt uppskattar jag det.
Ska testa å det snaraste.
Annica
Postat av: Annica Tiger augusti 4, 2004 07:29 EM
Ett förtydligande: det är snarare semiåtgärdat. xul-filer körs forfarande "remote", vilket inte är helt klockrent, men vi kanske kan förvänta oss en lösning tills Firefox 1.0 kommer. 0.9.3 är ju trots allt inte en färdig produkt.
Postat av: Patrick Strang augusti 4, 2004 07:26 EM
Nu har jag testat i Firefox 0.9.3 och problemt är nu åtgärdat. Man får dubbla "navigator toolbars" om spoofen genomförs.
I Mozilla 1.7.2 får jag ett felmeddelande, så där slipper man problemet också :).
Postat av: Patrick Strang augusti 4, 2004 07:17 EM
Patrick, funkar det inte bara för Firefox?
Johan, du skriver
"Moz kommer fråga om man verkligen vill installera XUL-filen genom en inte-riktigt-gullig dialogruta."
A. Fattar folk vad XUL är. Jag gjorde det inte förrän jag läste om det i går.
B. Får man den frågan när man installerar Mozilla? Har ingen minne av en sådan fråga.
Annica
Postat av: Annica Tiger augusti 4, 2004 07:04 EM
Testa problemet här tillsammans med lite förklaringar:
http://www.nd.edu/~jsmith30/xul/test/spoof.html
Dessutom har jag hittat en "fix", som jag presenterat i min blog, klicka på mitt namn här under.
Postat av: Patrick Strang augusti 4, 2004 01:38 EM
Lite fel uttryckt kanske... texten ovan får det att verka som om Mozzen tillåter allt som har med XUL att göra, vilket inte är sant. För det första är extensions grymt bra, för er som inte använder dessa, eller kanske inte hittat någon "värdig", kan det vara en idé att ta en titt på TabBrowser Extension (http://white.sakura.ne.jp/~piro/).
Men hur som helst, det var inte det som var frågan... Moz kommer fråga om man verkligen vill installera XUL-filen genom en inte-riktigt-gullig dialogruta.
Postat av: Johan augusti 4, 2004 11:11 FM
Det är nog så att det inte finns något helt och fullt säkert program. Alla program har luckor.
Eftersom allt fler använder sig av Mozilla ökar det intresset för att hackers ska finna luckor i det.
Det är bara att hoppas att man täpper igen de snarast.
Postat av: Bengt augusti 4, 2004 07:34 FM
Ett tips kan vara att inte tillåta javascript att ta bort statusraden och context-menyer.
Postat av: Patrick Strang augusti 3, 2004 06:59 EM