Firefox 1.0.7 lost ook tweede 'extreem kritieke' lek op

Meestal word een security bug eerst gemeld bij de makens voordat het openbaar gemaakt wordt. Vaak zit daar zeker een maand tussen.

Zo snel was de patch ook weer niet. Het lek was al bekend op dinsdag 8 februari 2005. Zie link: link

Voor mij is dat dus 7 maanden en 14 dagen.

Als iemand misbruikt maakt van het lek, gaat ie dat niet van de daken schreeuwen en zal een gebruiker het dus ook niet merken. Met een beetje virus is dat ook het geval, dan kan het namelijk in principe tot in lengte van dagen zijn kwalijke werk uitvoeren...

Ik vermoed omdat het komt omdat je al op de hoogte bent. De kans dat je via zo'n lek "aangepakt" wordt lijkt mij overigens zeer klein, maar wel aanwezig. Stel je bent op de hoogte van zo'n lek, dan heb je het denk wel door wanneer deze wordt uitgebuit.

Ik heb overigens nog nooit iemand horen praten over dat ie door zo'n lek werd uitgebuit, wat misschien ook kan verklaren dat iemand niet goed op de hoogte is van de werking van pc's.

Veel spy- of adware maakt gebruik van dergelijke 'lekken' om zichzelf op een systeem te installeren.

Dit soort lekken zijn vaak nog niet uit in het wild, maar wel aangetoond door middel van een proof of concepts. De classificatie wordt gebaseerd op het gemak waarmee dit misbruikt kan worden en de potentie om schade te berokkenen.

Doen ze daar zo moeilijk over en blijkt alleen in linux gevaarlijk te zijn.. ik wou al bijna gaan patchen, nu ja, nu hoeft dat niet natuurlijk.. kga niet effe mijn plug-ins om zeep zitten helpen..

en die kleine groep gebruikers is ook nog eens alleen kwetsbaar onder bepaalde omstandigheden, nl als je firefox opstart via een link in bv een mailtje, en dan weer niet als je je mail in een webmail leest, want dan draait firefox dus al.
maar hoe dan ook, het was een kwetsbaarheid, dus mooi dat het zo snel is opgelost.

Het nieuws en de meuktracker hebben vaak een andere gebruikersgroep. Het nieuws wordt bezocht door mensen die op de hoogte willen blijven van wat reilt en zeilt in computerland, terwijl de meuktracker er is om van elke update van een softwarepakket op de hoogte gebracht te worden.

Omdat het hier om een 'extreem kritieke' bug gaat, is het niet verkeerd er wat aandacht aan te besteden in het nieuws, zodat ook mensen die de meuktracker niet actief volgen en elk changelog uitpluizen op de hoogte gebracht worden.

Ik kan enkel gissen maar ik denk dat Secunia Firefox de tijd heeft gegeven om dit lek te patchen net zoals vaak bij MS gebeurd. "Je krijgt x dagen de tijd om dit op te lossen anders posten we deze bug".

Vandaar dat secunia het (toch) post, nadat de bug al gepatched is. Dit geeft Secunia de credits dat ze het ontdekt hebben. Vandaar dat tweakers dit post, om aan te geven dat het om een kritieke bug gaat.

Verder ben ik het met Youri eens; Ik volg niet altijd de meuktracker, maar als Firefox in het nieuws komt ga ik toch meestal wel even lezen!

Simpel toch, alleen Unix en Linux systemen met Firefox zijn kwetsbaar.
Vandaar het woord KAN. In Windows ben je niet kwetsbaar.

zet in IE activex en browser extenies van derden even compleet uit, dan is de kans een heel stuk kleiner datje spyware binnenkrijgt.

En IE is nog altijd de meest gebruikte browser logisch dat spyware zich daar op toespitst. Firefox beter? draait misschien vwat lichter... handiger met plug-ins. maar offie nou daadwerkelijk veel veiliger is? denk het eigenlijk niet. zowel IE als FF hebben patches nodig, verschil is alleen dat er bij IE altijd over gezeurd wordt door de gebruikers.

Dat is wat kort door de bocht. Zonder patch valt er niks te patchen, en in die zin hebben de ontwikkelaars m.i. goed werk gedaan.

Niet tegen microsoft, wel bekritiseer ik het enorm maar dat doe ik met me vriendin ook en toch hou ik van haar

Wat jij zegt is niet waar. Ik proef hier ook regelmatig een pro-microsoft en anti OSS sfeer. Er zijn op dit forum genoeg
MS-junks actief. En wat iedereen het liefst gebruikt moet hij/zij lekker zelf weten

Overgens hoor ik bij de Linux ploeg
Ikzelf heb het niet zo op microsoft-software omdat ik er de weg niet in kan vinden. Maarja, wat wil je ook als je het grootste gedeelte van je tijd met een console werkt?

En waar ik me echt aan stoor is al dat commerciele gedoe rond de M$-software. Licenties, copyrights, peperdure software, etc

Doe geen moeite Frank. Het is vechten tegen de bierkaai.

Nu even serieus, je hebt natuurlijk helemaal gelijk met je nuancering en in een ideale wereld zou er in iedere discussie zuiver objectief gereageerd worden. Helaas leven we niet in een ideale wereld en zo wist ik zonder het topic te openenen dat er al snel iemand zou zeggen dat dit lek snel gedicht is, wat je van IE niet kunt zeggen.

Dat dit bericht helemaal niet over IE gaat doet niet terzake. Het is een soort reflex wat veel techneuten hebben.

Intel -> AMD
Microsoft -> OSS
Windows -> Linux
IE -> Firefox
.NEt -> Java
Ferrarie -> McLaren
Doornbos -> Albers

Nou ja, mijn punt is duidelijk denk ik. Overigens zie je hetzelfde verschijnsel, m.i. nog irritanter, op bijvoorbeeld Webwereld.nl. Het hoort er blijkbaar bij.

Ik ben het er wel mee eens

Offtopic dan maar:

Hier stoor ik me dus mateloos aan elke keer.

Nou, even uitleggen waarom mensen zoals ik ons mateloos aan MS storen:

In 'arme' landen als Honduras, El Salvador, Nicuragua, maar ook in Turkije en Singapore verdwijn je (wettelijk mogelijk) in de cel als je illegaal MS-spulletjes gebruikt (maar ook andere, met name Amerikaanse software).
In Maleisië:
When they (the BSA) started a few years ago, they put up whole page advertisements in the local papers that depict a man with his hands handcuffed behind him in prison garb.
Iemand die bij de US-lokale overheid werkte, vertelde echter:
My local government uses pirated MS software... ...I reported this to the BSA along with all the data of how many licenses we actually have and how many we are using... ...I spent over an hour on the phone with the BSA giving them every single detail they asked for. What was the result of all this you ask? Nothing! (bron)
Dus (de BSA) MS discrimineert arme landen, maar dat durven ze niet in rijke Westerse landen, alleen in arme landen. Dat nog even afgezien van de vaak scheinheilige liefdadigheid van de Gates foundation, die geld geeft in de vorm van Windows-licenties aan Afrika (zodat de Linux-bedreiging daar overwonnen kan worden), en geld geeft aan het liefdadigheidsfonds, dat 'toevallig' is opgericht door de voorzitter in de Amerikaanse senaat van de 'rechtencommissie' (Tom DeLay). Diezelfde Tom DeLay kreeg overigens sommige reiskosten voor bepaalde reisjes via via vergoed van Microsoft (wat tegen de ethische regels van het huis van afgevaardigden is).bron
Het voornoemde is niet nadelig voor ICT'ers, maar niet echt ethisch te noemen.

Dan over Intel en AMD: Ze zijn allebei slecht, omdat ze allebei voor beperking zijn van de gebruiksmogelijkheden van computerchips (DRestrictionM), maar veel belangrijker: ze zijn voorstanders van softwarepatenten, net als MS.
Kortom, zij zorgen ervoor dat programmerende, innoverende ICT'ers, zoals jij allicht, niet eens meer zelf een paar lullige regels code kunnen bedenken zonder mogelijk aangeklaagd te worden door ICT-reuzen als Microsoft, IBM, Sun en noem ze verder maar op.

Verder is MS al twee keer veroordeeld (zowel in de US als in Europa) voor misbruik van hun monopoliepositie, en in Korea gaat mogelijk hetzelfde gebeuren. Ook dit is nadelig voor ICT'ers als jij.

En natuurlijk wordt door MS altijd 'eerst samengewerkt' met kleine ICT-bedrijfjes, dan wordt de samenwerking altijd gestopt, omdat MS altijd niks meer in de innovaties ziet van het kleine bedrijfje, maar even later komt MS wel met de innovaties van het kleine bedrijfje op de markt, en door het veel grotere distributienetwerk van MS maakt het kleine bedrijfje geen kans meer z'n technologie nog te verkopen, MS claimt dat zij het hebben uitgevonden, en als ze aangeklaagd worden door het kleine bedrijfje, wordt het kleine bedrijfe met dure rechtzaken geplet tot ze failliet zijn. Ook niet fijn voor ICT'ers als jij. (Voorbeeld: bron)

Dan kunnen we het nog hebben over certificering, MS-certificering verloopt altijd extra snel (sneller dan nodig is, moet nieuw cert halen zonder dat er veel aan de software verandert is), zodat ze jouw overnieuw zinloos je geld uit je zak kunnen kloppen. Wederom worden ICT'ers als jij genaaid.

Om over de prijs van MS-producten maar te zwijgen, ICT'ers als jij betalen ervoor, en vervolgens wordt het geld op de bankrekening van MS gehamsterd (er staat nu $60 miljard), waar vervolgens bijna niks aan innovatie en verbetering aan besteed wordt. En veilige producten maken die een stuk veiliger zijn dan OpenSource, wat met $60miljard toch wel zou moeten lukken, ho maar, zodat ICT'ers als jij fijn de hele dag bezig zijn met het patchen, installeren van anti-Spyware-zooi en Firewalls.

En meewerken aan standaarden doen ze ook niet echt, zodat ICT'ers als jij fijn iedere keer extra werk moeten doen om dingen op meerdere platformen draaiend te krijgen (als bijvoorbeeld webpagina's), en je fijn ingelockt wordt.

Blij dat ik geen ICT'er ben!

Het lijkt altijd wel dat je alleen een goede ICT'er bent als je tegen Microsoft bent, tegen IE, voor Open Source en AMD en ATI in je kast hebt.

Bij de meeste klanten moet ik juist de rommel opruimen gemaakt door Anti MS, Firefox en OpenSource "systeembeheerders".

Voor hun is automatisering meer een hobby dan een bedrijfsondersteunend process.

Bedrijfsautomatisering moet gedreven worden door de Business needs van een bedrijf waarbij IT ondersteunend is en niet zoals (te) vaak voorkomt een proces waarbij het bedrijf maar moet draaien om de IT afdeling heen.

Maar ja, zolang er nog IT-ers zijn welke de gebruikte techniek belangrijker vinden dan de bedrijfsdoelen van het bedrijf waarvoor ze werken kan ik een hele goede boterham verdienen :-)