Tag Archives: Firefox

Mozilla Firefox 16 drogs tillbaka efter upptäckt säkerhetshål

Bara dagen efter att Mozilla släppt sin senaste uppdatering till webbläsaren Firefox valde man att tillfälligt ta bort version 16 av den populära webbläsaren. Från Mozillas håll varnades det om ett säkerhetshål som fanns med i releasen och som potentiellt kunde utnyttjas till att se vilka webbplatser som användaren har besökt. Det fanns även möjlighet att komma över URL-parametrar. Dock var Mozilla väldigt tydliga med att påpeka att det inte finns några belägg för att någon hunnit utnyttja hålet.

Om en angripare kommit åt URL-parametrar så kan denne genom att använda JavaScript, öppna andra fönster till användarens skyddade webbplatser, såsom Twitter- och Facebookkonton, bankkonton och liknande. I vanliga fall skulle webbläsaren skicka ett meddelande om nekad åtkomst, men Firefox 16 har släppt igenom dessa.

Tidigare har flera webbläsare lidit av problem där angripare kan komma över information om webbhistoriken genom att manipulera CSS som ser till att besökta länkar visas i en annan färg än länkar som redan besökts. De luckorna har täppts till i takt med att webbläsarna utvecklats och mer tid lagts på att försvåra för angriparna.

Rådet från Mozilla till sina användare blev att vänta med att uppgradera sina webbläsare tills problemet är åtgärdat och om möjligt, nedgradera till äldre versioner som Firefox 15.0.1 för att på så sätt undvika öppna dörrar.

Mozilla planerar gömma versionsnummer i Firefox

Efter att ha ökat versionsnumren i Firefox i väldigt snabb takt, något som uppmärksammats av bland annat IDG, planerar Mozilla nu att helt dölja versionsnumren i Firefox, och istället bara visa något i stil med ”Firefox sökte efter uppdateringar för 20 minuter sedan, du har den senaste versionen”.

I en kommentar på bugzilla finns följande att läsa, skrivet av Asa Dotzler, Community Manager för Firefox:

Remove version from About window
When a user opens the About window for Firefox, the window should say something like ”Firefox checked for updates 20 minutes ago, you are running the latest release.”

It is important to say when the last check happened and ideally to do the check when the dialog is launched so that time is very near and to drop the version and simply tell them they’re on the latest or not.

If a user needs the full version information they can get it from about:support.

På ett sätt kan det vara bra att försöka få bort fokus från ”vilken version man har installerad”, men då är det viktigt att de automatiska uppdateringarna fungerar bra och smidigt för användarna.

För en hemanvändare spelar det oftast ingen roll vilken version man använder, utan kan man alltid lätt ha den senaste versionen installerad så är det troligtvis det smidigaste. I ett företagsnätverk kan det dock vara svårare. Först och främst måste användaren ha rättighet att uppdatera programmet, antingen genom att ha skrivrättigheter till programmet, eller att användaren kan autenticera sig som en administratör/någon som har rättigheter. Sedan är det oftare väldigt viktigt att man har kontroll över vilka versioner som körs på klienterna.

Både Google och Mozilla vill att användarna ska strunta i versionsnumren. Istället så ska man köra t.ex. antingen Stable, eller Nightly. Oavsett exakt version.

Asa Dotzler fortsätter:

This feature is a priority of the Firefox UX lead and the Firefox Product lead. It is part of the phasing out of version numbers in Firefox that’s already well under way (though still incomplete.)

Om man gör en koppling till säkerhetsprogram så är det första jag kommer att tänka på att man måste verkligen veta att programmet söker efter uppdateringar, eller att det varnar om det misslyckas (i alla fall efter ett par gånger).

Viss skadlig kod försöker förhindra olika antivirusprogram från att uppdatera. Det är viktigt att de inte lätt kan luras att säga att ”Allt är lugnt! Du har senaste versionen!” fastän det inte stämmer.

Ny trojan infekterar NTFS-loader, använder ”väldigt snygga” trick för att lura användaren att betala

Kaspersky Lab rapporterar om en ny trojan som hittats, ”Cidox”. Istället för att ”bara” infektera MBR som några andra välspridda rootkits så infekterar den NTFS IPL (Initial Program Loader). Den koden den byter ut är den som startar upp resten av systemet (”bootmgr” i Vista och nyare operativsystem, och ”ntldr” i tidigare versioner). Trojanen infekterar endast partitioner som har NTFS som filsystem.

Detta innebär att det kan vara svårare, i alla fall för tillfället, för antivirusprogram att rensa ett infekterat system.

När datorn sedan bootar om så startar den sina egna drivrutiner för att utföra resten av sin skadliga kod. Det den här versionen av trojanen gör är att den söker efter webbläsarna Firefox, Chrome och Opera. Om användaren startar webbläsaren så ser trojanens drivrutin till att den laddar in ytterligare skadlig kod i webbläsaren i form av en DLL-fil.

Användaren får sedan upp en väldigt ”snygg” varning i sin webbläsare om att den behöver säkerhetsuppdateringar:

Cidox-trojan

Cidox-trojanens varning i Firefox

Detta exempel är på ryska, men jag kan lätt tänka mig att användare kan luras av detta (så länge som språket är samma som i deras webbläsare). Man märker att de har lagt ner tid på att få varningen att se verklig ut. I Opera och Chrome så ser varningarna annorlunda ut.

Det som händer när man väljer att ”uppdatera” sin webbläsare från varningen är att trojanen uppmanar användaren att skicka ett SMS med en kod till ett betalnummer, och på så sätt tjänar skaparen av trojanen pengar.

Detta visar på ett nytt sätt att få sin skadliga kod att starta automatiskt, och även att de har lagt ner tid på att få det att se äkta ut.

Förhoppningsvis så vet personerna som har installerat sina webbläsare att de inte behöver betala eller skicka SMS för att få hem uppdateringar till dem..

Hackare lyckades skapa falska krypteringscertifikat för stora webbplatser!

Någon har lyckats hacka sig in hos Comodo, ett företag som bland annat levererar TLS/SSL-certifikat. Hackaren lyckades skapa egna certifikat för domänerna mail.google.com, www.google.com, login.yahoo.com, login.skype.com, addons.mozilla.org och login.live.com.

Med hjälp av certifikaten kan attackeraren utföra så kallade man-in-the-middle-attacker utan att användaren märker någonting. Användaren loggar in på exempelvis Gmail krypterat, men attackeraren (som måste ha tillgång till användarens dator, eller till datatrafiken mellan användaren och servern) kan utan problem ligga som ”mellanhand” och läsa all trafik genom att använda sitt egna giltiga krypteringscertifikat istället.

Bloggaren ioerror (Jacob Appelbaum) på The Tor Project upptäckte att både Chromium och Firefox lade till svartlistade certifikat i sina uppdateringar, utan förklaring till varför de stoppade certifikaten, eller vilka certifikat det var.

Efter ett tag uppdagades det att anledningen var att företaget Comodo hade hackats, och giltiga krypteringscertifikat hade skapats för olika välkända webbplatser. Även Microsoft har släppt uppdateringar för att stoppa de certifikat som skapades.

Mozilla och Comodo har släppt information om incidenten på sina hemsidor. Attackeraren verkar ha kommit från Iran (eller i alla fall haft en hackad dator där som han gick via).

Ioerror påpekar i sin blogg att detta visar på sårbarheten med certifikat, och hur dåligt webbläsare har implementerat återkallning av certifikat.

Tillgång till dessa certifikat är ovärderliga för exempelvis ”övervakande stater”, som obehindrat kan övervaka även krypterade anslutningar (HTTPS) och inloggningar i hela landet.

Tabnapping – ny form av nätfiske

Det är cirka tio år sedan den första webbläsaren med tabs, alltså flikar, dök upp. Nu har gränssnittsexperten Aza Raskin på Firefox upptäckt ett nytt sätt att utnyttja dem för nya äventyr inom den sociala ingenjörskonsten.

Enkelt utryckt fungerar det så att du lämnar en infekterad sida öppen i en flik medan du gör annat i andra flikar. Då tar den tillfället i akt och byter innehåll på den inaktiva fliken – förslagsvis till något som ser väldigt mycket ut som en inloggningssida till Facebook eller Gmail eller liknande. Minnet är som bekant kort och risken stor att man antar att man helt enkelt blivit utloggad från en sajt och snällt försöker logga in igen.

Det här är ett mycket smart men enkelt och troligen effektivt sätt att komma över inloggningsuppgifter och därmed mängder av känslig information. Det är även som många skrivit tidigare svårt att göra något åt problemet med mindre än att Javaskript stängs av i webbläsaren, vilket gör att de sidor som använder javaskript slutar fungera – och det är många. Däremot så rekommenderar jag tillägget NoScript om man använder sig av Firefox. Då kan man enkelt välja per webbsida när javaskript ska tillåtas.

Om tekniken har använts i verkligheten än, det låter jag vara osagt, men Raskin har släppt ut anden ur flaskan med sitt avslöjande. Nu får vi hoppas att webbläsarföretagen gör något åt svagheten innan nätfiskeflottan börjar använda metoden på allvar.

Ett sätt att skydda sig nämns i kommentarfältet till PC för allas artikel – att använda ett program för lösenordshantering som håller koll på att du verkligen befinner dig på rätt adress innan den matar in några uppgifter.

Läs mer på Scam detectives, The Register och PC För Alla.

Uppdatering från Microsoft för IE-hålet

Igår kväll var det äntligen dags för Microsoft att patcha det omtalade säkerhetshålet i Internet Explorer. Ända sedan december, då Google hackades av kinesiska cyberskurkar, har Microsoft haft problem, och i dagsläget konstaterar Google att man hellre drar sig ur Kina helt än låter denna typ av attacker ske.

34 andra amerikanska företag drabbades i attacken, som är allvarligast för Explorer 6, men även går att utnyttja i version 7 och 8. Däribland fanns Adobe och Yahoo och under den gångna helgen accentuerades problemen då tyska myndigheter avrådde användare från att använda Internet Explorer helt tills Microsoft lyckats lösa problemet. Även svenska Sitic rekommenderade att temporärt använda andra webbläsare, och nedladdningar av Firefox och Opera ökar kraftigt.

Microsoft rekommenderar att användarna stänger av ActiveX i Office, för att undvika intrång.

För instruktioner om inaktivering av ActiveX, se Office Online: Hur man inaktiverar ActiveX.

Och som vanligt, glöm inte att hålla Windows uppdaterat: http://update.microsoft.com/