Gebruikers die Firefox (versie 2.0 of hoger) en Internet Explorer samen op een computer hebben staan lopen een groot beveiligingsrisico. Een combinatie van een lek in IE en in Firefox zorgt voor ernstige problemen.
Afgelopen dinsdag gaf Thor Larholm aan dat het lek bij Microsoft lag, ook Symantec deelde die mening. Echter de beveiligingswebsite Secunia was van mening dat het probleem bij Firefox lag. Hierop zei Oliver Friedrichs, directeur van Symantec dat het lek bij beide applicaties ligt. Ze zijn veilig als stand-alone producten, maar gaan niet goed samen.
Wanneer de gebruiker van Internet Explorer een site bezoekt die speciaal gemaakt is om misbruik te maken van het lek is het voor de kwaadwillende erg gemakkelijk om de computer over te nemen. Als de gebruiker deze website bezoekt, wordt er namelijk een "firefoxurl://" URI-handler geactiveerd, waardoor de computer overgenomen kan worden. De nieuwe URI-handler was geregistreerd door Firefox om er op Windows voor te zorgen dat Firefox gestart wordt als deze URI aangeroepen wordt. Door het registreren van de URI is het mogelijk om via IE gegevens door te sturen naar Firefox.
Volgens Friedrichs is het aantal mensen dat een risico loopt redelijk groot, omdat veel gebruikers van Firefox versie 2.0 of hoger hebben geïnstalleerd, en ook nog daarbij Internet Explorer omdat dat de standaard webapplicatie is van Windows.
Volgens Secunia kunnen mensen behalve door het ontwijken van de gevaarlijke websites ook via de administrator-account de Firefox URL URI handler verwijderen. Ook kan men ervoor zorgen dat de manier waarop Firefox de invoer van data accepteert veranderd.
26 minuten geleden
