Firefox 3 breekt records, dan zelf

Illustratie: Firefox 3.0 van Harry CampbellMozilla heeft bij zijn recente release een nieuw record ingesteld voor browserdownloads op één dag: meer dan 8 miljoen exemplaren in slechts 24 uur. Het is dus geen verrassing dat hackers tegenwoordig meer tijd besteden aan het jagen op Firefox-gaten.

Mozilla heeft updates uitgegeven om twee beveiligingslekken in zowel Firefox 2 als 3 te patchen. De eerste oplossing blokkeert een kwaadaardig aanvalsprogramma door Firefox te laten crashen door meer pijpleidingen te verzenden (de verticale lijn, of "|") tekens dan de browser aankan. De tweede kwetsbaarheid houdt een vergelijkbaar overstromingsrisico in.

Geen enkele bug heeft echte, in-het-wild-aanvallen tot nu toe voortgebracht; maar met beide niet opgelost, zou het bezoeken van een vergiftigde webpagina je pc kunnen laten besmetten met malware. Zorg ervoor dat je de nieuwste browserversie hebt door op Help, Check for Updates te klikken (versies 2.0.0.16 en 3.0.1 bevatten deze oplossingen).

[Meer informatie: Malware van je Windows-pc verwijderen]

Opera Reprise

Firefox is deze maand niet de enige browser in de patchmodus: Opera 9.51 corrigeert een beveiligingsglitch die als "matig ernstig" is beoordeeld in de zojuist uitgebrachte versie 9.5. Opera heeft geweigerd om details over de fout te onthullen, om geen hackers te foppen; Gelukkig is de patch ouder dan echte aanvallen.

Versie 9.51 lost ook verschillende stabiliteitsproblemen op en een fout waardoor een slechte kerel willekeurige delen van het geheugen van je pc kan lezen, mogelijk met het blootstellen van gevoelige informatie. Gebruik Opera's Help, Check for Updates om te bepalen of u een update nodig hebt. Om dit te krijgen, moet je de nieuwste volledige versie handmatig downloaden en installeren.

Anders dan de Firefox- en Opera-bugs, wordt momenteel een gat van Microsoft Word aangevallen. Op het moment van de pers was Microsoft bezig met het onderzoeken van meldingen van zero-day-aanvallen tegen Word 2002 SP3-gebruikers (alle andere ondersteunde versies van Word worden niet beïnvloed). Net als bij veel Office-bugs zou je een vergiftigd Word-document moeten openen via e-mail of aangeboden als een te downloaden hit. Raadpleeg voor meer informatie over de bug het advies van Microsoft.

Weer een bedreiging voor de zero-day

Microsoft poogt een andere zero-day-aanval die profiteert van een gat in het ActiveX-besturingselement voor de Snapshot Viewer voor Microsoft Access. Het bedrijf zegt dat het beperkte, gerichte aanvallen heeft gezien die de fout in Internet Explorer veroorzaken. Het bekijken van een kwaadwillige webpagina kan uw systeem volledig in gevaar brengen en u loopt risico als u Access 2000, 2002 of 2003 hebt geïnstalleerd of als u de Snapshot Viewer voor Microsoft Access als zelfstandige hebt gedownload om Access-rapporten in IE te lezen.

Zoals met alle zero-day-kwetsbaarheden, is er nog geen patch beschikbaar. Microsoft suggereert een paar, grotendeels onverkwikkelijke, oplossingen, waaronder het uitschakelen van Active Scripting in IE, het vragen om Active Scripting uit te voeren of het bewerken van het Windows-register om alleen dat specifieke ActiveX-besturingselement uit te schakelen (zie het advies voor instructies). Wees voorzichtig met de tijdelijke oplossing van het register, want als u een fout maakt bij het bewerken van het register, kan dit Windows blokkeren of zelfs breken.

Heeft u een hardware- of softwarefout ontdekt? Stuur ons een e-mail op

[email protected].