:strip_icc():strip_exif()/u/126096/crop580e4f8566fec_cropped.jpeg?f=community)
Hier wordt vooral veel aandacht gericht op MS, omdat de exploit nog steeds niet gefixed is.
Echter als ik op de bron site kijk zie ik dat zowel Webkit. Firefox en Opera ook nog steeds open bugs hebben die ook al tijden geleden gemeld zijn door deze exploit maker.
Verder staat er niet bij welke versie van IE de bugs in zitten, bij Chrome, Firefox en Opera is dat niet zo belangrijk omdat hogere versies bijna automatisch geinstalleerd worden, maar bij IE zitten mensen soms vast op IE6/7 terwijl 8 er al is wegens versie van windows/bedrijfsstructuur etc...
de quotes (van http://lcamtuf.blogspot.c...z-potential-0-day-in.html )
Mijn eigen conclusie is iig dat er in het artikel bij vermeld zou mogen worden dat alle andere browsers ook nog steeds niet alle gevonden bugs hebben gefixed. Wel is het zo dat van deze bugs niet zeker is of ze exploit baar zijn. MS heeft ook bugs gefixed, maar een belangrijk sowieso exploitable bug zit er nog steeds in.
Echter als ik op de bron site kijk zie ik dat zowel Webkit. Firefox en Opera ook nog steeds open bugs hebben die ook al tijden geleden gemeld zijn door deze exploit maker.
Verder staat er niet bij welke versie van IE de bugs in zitten, bij Chrome, Firefox en Opera is dat niet zo belangrijk omdat hogere versies bijna automatisch geinstalleerd worden, maar bij IE zitten mensen soms vast op IE6/7 terwijl 8 er al is wegens versie van windows/bedrijfsstructuur etc...
de quotes (van http://lcamtuf.blogspot.c...z-potential-0-day-in.html )
Ja MS heeft zeker nog wat werk te doen, vooral omdat de exploits heel gevaarlijk zijn. Wel gaat het hier om enkele, waar een hoop andere bugs al wel gefixed zijn, maar MS geeft een stuk soberdere patch notes. MS heeft niet helemaal geen actie ondernomen. (Aangenomen dat het net als bij de andere browsers om enkele dozijnen fouten gaat).Internet Explorer: MSRC notified in July 2010. Fuzzer known to trigger several clearly exploitable crashes (example stack trace) and security-relevant GUI corruption issues (XP-only, example). Reproducible, exploitable faults still present in current versions of the browser. I have reasons to believe that one of these vulnerabilities is known to third parties.
(Wel het meest goed gepatched volgens deze tool).All WebKit browsers: WebKit project notified in July 2010. About two dozen crashes identified and addressed in bug 42959 and related efforts by several volunteers. Relevant patches generally released with attribution in security bulletins. Some extremely hard-to-debug memory corruption problems still occurring on trunk.
(Nog steeds issues dus, aangezien hij er van uit gaat dat bij crashes er al een exploit te maken is)Firefox: Mozilla notified in July 2010. Around 10 crashes addressed in bug 581539, with attribution in security bulletins where appropriate. Fuzzing approach subsequently rolled into Jesse Ruderman's fuzzing infrastructure under bug 594645 in September; from that point on, 50 additional bugs identified (generally with no specific attribution at patch time). Several elusive crashes still occurring on trunk. Bad read / write offset crashes in npswf32.dll can also be observed if the plugin is installed.
(idem als firefox)Opera: vendor notified in July 2010. Update provided in December states that Opera 11 fixed all the frequent crashes, and that a proper security advisory will be released at a later date (release notes list a placeholder statement: "fixed a high severity issue"). Several tricky crashes reportedly still waiting to be resolved.
Mijn eigen conclusie is iig dat er in het artikel bij vermeld zou mogen worden dat alle andere browsers ook nog steeds niet alle gevonden bugs hebben gefixed. Wel is het zo dat van deze bugs niet zeker is of ze exploit baar zijn. MS heeft ook bugs gefixed, maar een belangrijk sowieso exploitable bug zit er nog steeds in.
:strip_icc():strip_exif()/u/22092/crop5fa8360e95568_cropped.jpeg?f=community)
