Firefox krijgt anti-phishing update

Diverse lekken gedicht

De populaire Firefox-browser is vernieuwd: versie 1.0.1 moet het vooral lastiger maken om domeinnamen te vermommen. Fraudeurs en oplichters kunnen zo niet doen voorkomen of er een betrouwbare site wordt bezocht.

Deze vorm van oplichting, ook wel phishing genoemd, probeert mensen ervan te overtuigen dat ze een legitieme site bezoeken - meestal om daar bank- of creditcardgegevens in te voeren. Zulke nepsites zijn meestal niet van de echte te onderscheiden. Zwakke plekken in browsers maken het bovendien mogelijk om de domeinnaam in de adresbalk te manipuleren.

Firefox heeft die route nu afgesloten, schrijft de Mozilla-stichting in de documentatie bij versie 1.0.1. Een nieuwe optie werd toegevoegd om internationale domeinnamen met speciale, diakritische tekens mogelijk te maken. Zulke bijzondere internationale tekens worden niet door het domeinnaamsysteem ondersteund - die herkennen alleen standaard ascii-tekens.

Firefox vertaalt nu een domeinnaam als bücher.ch via zogenoemde 'punycode' naar het equivalent xn--bcher-kva.ch. Wie liever alleen daadwerkelijk ondersteunde domeinnamen ziet, kan deze vertaalslag uitschakelen.

Verder dicht deze versie van Firefox diverse gaten, die het mogelijk maakten om gegevens uit de browser te ontfutselen of wijzigingen door te voeren in de browserconfiguratie.

Eerste ADSL2+-aansluiting opgeleverd door Quicknet

Quicknet heeft zijn eerste ADSL2+-klant aangesloten op een telefooncentrale in Utrecht. De komende maanden zullen enkele huishoudens in de stad de diensten via ADSL2+ gaan testen. Het gaat daarbij in eerste instantie om telefonie en internet, maar later volgens het bedrijf ook om digitale televisie in de vorm van video-on-demand. Via de site van Quicknet kunnen nog enkele geïnteresseerden zich aanmelden voor een testaansluiting, met als voorwaarde dat ze in ieder geval in het testgebied wonen en 49 euro per maand betalen voor hun abonnement. Een extra KPN-abonnement is niet meer nodig.

ADSL2+ is een van de opvolgende technieken van ADSL. De nieuwe standaard maakt downstreamsnelheden tot 25Mbit mogelijk op een niet al te grote afstand van de centrale. Door het bundelen van meerdere telefoonlijnen kan deze snelheid worden verhoogd. Begin dit jaar liet KPN weten zowel de techniek ADSL2+ als een andere variant, VDSL, naast elkaar te kunnen toelaten op het landelijke telefoonnet. Verwacht wordt dat een upgrade voor KPN moeilijker zal zijn dan voor concurrenten van het bedrijf, aangezien KPN oudere apparatuur in de centrales heeft staan.

Voor de huidige ADSL-aanbieders is een snelle uitrol van de nieuwe technieken van belang, aangezien de vraag naar bandbreedte door opkomende toepassingen stijgt en de kabelmaatschappijen hun aanbod snel uitbreiden. De marktpartijen richten zich steeds meer op de zogenoemde 'triple play'-strategie van telefonie, televisie en internet via één aanbieder. Het huidige ADSL gaat tot maximaal 8Mbit downstream, wellicht te weinig voor een uitgebreid aanbod. Volgende maand zullen KPN en Versatel hun plannen over digitale televisie, en daarmee mogelijk over ADSL2+, bekendmaken.

Mozilla zet Sunbird online

Den Haag, 10.05 uur - Vanaf vandaag is de eerste publieke versie van de elektronische agenda van Mozilla te downloaden. Dit Sunbird versie 0.2 gedoopte programma werkt stand-alone, maar kan ook collectief via internet gebruikt worden op een WebDAV (World Wide Web Distributed Authoring and Versioning)-geschikte server.

De open source Mozilla-organisatie werkt aan de integratie van Sunbird met het mailprogramma Thunderbird. Dit alternatief voor Microsoft Outlook moet deze zomer onder de naam Lightning beschikbaar komen. Sunbird 0.2 is beschikbaar voor Windows, Linux en MacOSX. (Peter Lievense)

Onderzoeker ontdekt drie Firefox-lekken

Lekken omslachtig te exploiteren

De Windows-versies van Firefox 1.0 en Mozilla 1.7.5 bevatten drie lekken, stelt een Duitse onderzoeker. Hij geeft op zijn website demonstraties van de geconstateerde problemen.

Veiligheidsexpert Michael Krax noemt zijn ontdekkingen Firedragging, Firetabbing en Fireflashing. De techsite Heise bericht over de details van elk probleem.

Firedragging is een zwakke plek in de controle van bestanden die vanuit de browser naar de desktop gesleept worden. Firefox en Mozilla staan dat alleen toe als het om grafische bestanden gaat. Wanneer het om uitvoerbare data gaat, zoals programmaatjes, resulteert het alleen in een tekstlink op de desktop.

Het blijkt echter dat Firefox en Mozilla niet controleren of een bestand mogelijk hybride is. Zo kan iets in de browser een afbeelding lijken, maar uitvoerbare code opleveren wanneer het naar de desktop wordt gesleept. Kwaadwillenden kunnen zo gevaarlijke code op de computer brengen.

Firetabbing is een manipulatie van de tabbed browsing functionaliteit in combinatie met javascript. Het uitbuiten van het lek is erg omslachtig (een site moet in een reeds bestaand tabblad worden gesleept) maar kan onder bepaalde omstandigheden leiden tot een herconfiguratie (!) van de browserinstellingen.

Fireflashing draait, zoals de naam doet vermoeden, om de weergave van Flash in Firefox. Door een onzichtbaar frame weer te geven in een Flash-animatie (met daarin de pagina about:config, waar alle browserinstellingen zich bevinden) kan de werking van de browser worden verstoord.

Wie denkt in een leeg veld te hebben geklikt, schakelde in werkelijkheid een parameter om. Ook deze exploitatie is complex, maar niettemin potentieel gevaarlijk.

In de zogenaamde nightly builds (officieuze versies van software) zijn de problemen verholpen, maar het duurt waarschijnlijk tot Firefox 1.0.1 voordat ze ook officieel tot het verleden behoren. Wanneer deze versie uitkomt, is momenteel nog niet bekend.