Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Je kunt ook een cookievrije versie van de website bezoeken met minder functionaliteit. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , reacties: 89, views: 23.176 •

Mozilla heeft de dinsdag geïntroduceerde nieuwe versie van Firefox alweer offline gehaald, vanwege een beveiligingsprobleem. De browsermaker belooft donderdag een gepatchte versie te uploaden. De Android-versie is al gepatcht.

Firefox-logoDe kwetsbaarheid die Mozilla heeft doen besluiten om Firefox 16 offline te halen, maakte het mogelijk voor kwaadwillende sites om te achterhalen welke url's zijn bezocht. Bovendien kunnen kwaadwillenden 'toegang krijgen tot de url en de url-parameters', schrijft de beveiligingscoördinator van Mozilla. Wat daarmee precies wordt bedoeld, is onduidelijk.

Huidige gebruikers van Firefox 16 worden niet automatisch gedowngraded, maar kunnen dat desgewenst wel handmatig doen. Bovendien krijgen ze automatisch een gepatchte versie zodra die beschikbaar is. Firefox hoopt die versie donderdag nog te kunnen uitrollen. Overigens is Firefox 16 nog wel te downloaden op een pagina met gelokaliseerde Firefox-versies. De Android-versie van Firefox was ook getroffen, maar is inmiddels al voorzien van een update.

Firefox 16 werd dinsdag uitgerold en biedt onder andere betere developertools en de mogelijkheid om webapps te 'installeren'. De Android-versie heeft daarnaast een leesbaarheidsmodus gekregen, waarbij onnodige interface-elementen van websites worden weggehaald, waardoor de tekst beter leesbaar is.

Reacties (89)

Ik vraag me af of een externe partij dit probleem gemeld heeft of dat ze er zelf achter gekomen zijn.
Vandaag dus de update, lijkt me redelijk snel.
Eigenlijk telaat, maar FX wil op termijn hun updates door middel van een service te pushen (zonder interactie van de gebruiker). Ik weet niet of dat echt een goed idee is voor een bedrijf dat elke release binnen de 14 dagen moet voorzien van een update, veelal vanwege een security bug. Moest dit nu eens één keer gebeuren zou het niet zo een ramp zijn, zoals je zelfs aangeeft zijn ze snel met het patchen, maar het gebeurt bij elke release.

Er is een reden waarom ik even wacht met updaten.
"FX wil op termijn hun updates door middel van een service te pushen (zonder interactie van de gebruiker)"

Deze functie is al sinds updaten van Firefox 12 --> 13 aanwezig. Het updaten van Firefox 15+ gebeurt op de achtergrond, zodat de gebruiker er nog minder van merkt.

[Reactie gewijzigd door Coyote76 op 11 oktober 2012 13:08]

Overigens klopt het geciteerde ook op een ander punt niet: de service is niet verantwoordelijk voor het downloaden van updates en draait normaal gesproken ook niet. De service wordt alleen geactiveerd op het moment dat een update gedownload is en geïnstalleerd moet worden - om zo UAC dialogen en vertraging tijdens het opstarten van de browser (en nu ook Thunderbird) te voorkomen.

[Reactie gewijzigd door Mitsuko op 11 oktober 2012 18:04]

Eigenlijk telaat, maar FX wil op termijn hun updates door middel van een service te pushen (zonder interactie van de gebruiker). Ik weet niet of dat echt een goed idee is voor een bedrijf dat elke release binnen de 14 dagen moet voorzien van een update, veelal vanwege een security bug.
Voor bedrijven is er dan ook de Firefox Extended Support Release (ESR) die minder vaak geupdate wordt.
Niet geheel waar.
De ESR worden niet voorzien van feature, maar wel van de nodige patches, waardoor er bij elke nieuwe release ook een ESR update is. Het enige verschil is dat je, althans de theorie, enkel maar moet deployen, de praktijk wijst echter anders uit.
een patch een dag na het ontdekken van de fout noem jij te laat? Toegegeven, de fout had niet mogen gebeuren maar heeft zich toch voorgedaan. De snelheid waarmee Mozilla dit probleem aanpakt kan ik evenwel enkel aanzien als een voorbeeld voor andere softwarefirmas.

En ja, mensen maken fouten ... .
Iedereen maakt fouten, maar bij Mozilla is het een onderdeel geworden van het ontwikkelingsproces. Ze brengen een release uit en het duurt niet lang of er komt een noodzakelijke update uit. Als dat eens één keer gebeurt is er weinig aan de hand, als dat (bijna) altijd gebeurt dan moet je toch eens nadenken of je wel een goede strategie hanteert.
Wat ik alleen niet snap;

de voorgaande versies hadden dit probleem niet. Hoe kan een dergelijk probleem dan plotseling ontstaan ? Ik bedoel; als iets toch goed werkt hoef je daar toch niet aan gaan zitten rommelen ?

Los eerst eens alle andere bugs op alvorens aan bestaande functies te zitten prutsen ..
Los eerst eens alle andere bugs op alvorens aan bestaande functies te zitten prutsen
Het is niet heel ongebruikelijk dat het fixen van een bug weer een nieuwe introduceert. Ook kan het zijn dat de opzet van de code zo wordt omgegooid om nieuwe features mogelijk te maken, waarbij je ook weer het risico loopt dat bestaande funcionaliteit breekt.

Ja, natuurlijk moet dat goed getest worden, maar jij doet nu net alsof ze zonder meer aan het rommelen zijn met code die gewoon goed werkt, terwijl je over totaal geen enkele achtergrondinformatie beschikt.

Dat merk ik overigens sowieso vaak bij reacties van jouw hand. Een tip: lees je eens een keer in een onderwerp in voordat je begint te roepen hoe het wel moet :).

[Reactie gewijzigd door .oisyn op 11 oktober 2012 11:41]

Voor mij is dat gewoon logica; als iets prima werkt en na een update kuren vertoond, heb je het verprutst. Lijkt mij geen speld tussen te krijgen.

Ik word er de laatste tijd gewoon moe van dat ik na het updaten (vanwege een serieuze bug / security issue) vaak grotere problemen heb als voorheen.

Dat zie je bij JAVA, Adobe Flash en nu dus ook bij Firefox.

Maar hey; ik schijn "fans" te hebben. Is ook wat waard ;-)
Heel leuk dat het voor jou logica is maar zo werkt het bij code nu eenmaal niet. Bij een stuk software werkt men bijvoorbeeld vaak volgens het 'DRY' principe, of "Don't Repeat Yourself'. Dit houd in dat je een bepaald stuk code één keer schrijft en dan zo vaak mogelijk hergebruikt door naar diezelfde code terug te verwijzen. Als je dus een bug fixt in zo'n stuk code kan dit invloed hebben op andere delen van je software omdat het initiele stuk code gewijzigd is.

Sowieso werken veel delen van code samen met andere delen dus als er in het ene deel iets wijzigt kan dat invloed hebben op hoe het andere deel werkt. Dit kan je vantevoren niet altijd weten en zeker niet als alleen de developer zijn eigen werk test, die testen namelijk over het algemeen op een vrij elementaire wijze: ze testen ieder stukje code op zichzelf en niet het geheel.

Als voorbeeld, stel je hebt een stuk software waar de hoofdfunctie is dat je een waarde in kan geven voor X en dan de uitkomst Y word berekend. Vervolgens doet de code het volgende:

A = 3 x X
B = 5 x A
C = B / 2
Y = C - 2

Bij het soort testen wat veel developers zelf doen testen ze ieder van deze regels opzich en kunnen er voor A B en C uitkomsten uitkomen die correct lijken, maar pas als je daadwerkelijk X hebt ingevoerd en er de juiste Y uit komt heb je echt zekerheid dat alles werkt. Hiervoor neem je dus een software tester in dienst, die vervolgens ook nog gaat kijken wat er gebeurd als je voor X waardes invoert die eigenlijk niet voor komen of waar vaak niet aan gedacht wordt.
Aan wat Cronax zegt wil ik nog een paar dingen toevoegen.

Ten eerste dat sommige delen van Firefox nog uit de Netscape tijd stammen - vaak weet men dus niet meer goed waarom iets geschreven is zoals het geschreven is, of stamt een functie uit een tijd toen het web nog vooral uit tekst en gifs bestond. Vaak kan je die code wel uitbreiden - maar als er ingrijpende veranderingen nodig zijn, bijvoorbeeld om iets wat statisch is dynamisch te maken, dan is het soms handiger om overnieuw te beginnen. De nieuwe code voldoet dan aan moderne programmeerconventies en is vaak een stuk makkelijker te onderhouden.

Ten tweede is het niet zo dat nieuwe code zomaar zonder testen in gebruik wordt genomen. Zo heeft Mozilla een geautomatiseerd test framework wat uit een aantal lagen bestaat - Reftests, Mochitests, Peptests, Talos, en vast nog een paar die ik hier vergeet - waarin letterlijk honderdduizenden tests worden uitgevoerd die verschillende delen van de code testen. Daarnaast doorloopt de browser voor de Release versie eerst nog het Nightly traject (~95 duizend actieve gebruikers), het Aurora traject (~125 duizend actieve gebruikers) en het Beta traject (een paar miljoen actieve gebruikers), samen goed voor 12-18 weken (afhankelijk van wanneer in de cyclus een verandering in de browser wordt aangebracht). Als er met al die tests toch iets doorheen glipt - tsja, dat kan gebeuren. Maar het gaat niet zomaar.
gelukkig heeft IE wel een goede reputatie qua beveiliging |:(
Jazeker. Er is echt wel veel veranderd bij MS. Stop eens met die oude vooroordelen.
http://microsoft-news.com...fari-in-web-safety-tests/
Hoezo beveiligingsproblemen met Chrome? Ik kan op Tweakers de laatste keer dat er een beveiligingsprobleem met Chrome was niet eens meer vinden.
Eergisteren... https://tweakers.net/meuk...gle-chrome-220122992.html

5 CVE's, en CVE's zijn weldegelijk veiligheidsproblemen.
Als er ergens schering en inslag is met beveiligingsproblemen is het juist IE wel. Die staat er zelfs berucht om, plus die narigheid met eigen standaarden. Goed, 't is niet zo'n gedrocht als IE 6 meer, maar dat is vooral aan Mozilla te danken.
Mozilla patcht het probleem trouwens dezelfde week nog, terwijl Microsoft het eerst lekker laat zitten omdat ze een vaste patchdag hebben.
Over dat andere zal ik maar niet over beginnen. Daar is al veel over geschreven en geroepen. Laten we zeggen dat het veel woorden is, maar weinig daden.
- Eigen standaarden: nee, Microsoft is actief met HTML5. Alleen zijn andere browsers die vaker releases uitbrengen soms iets sneller. Owja, wellichte gaat het de toekomst worden, maar Chrome ondersteund Spdy dacht ik, terwijl het nog niet is de standaard is....
- IE berucht om veiligheidsproblemen? Vroeger, nu.... nee.

- Microsoft wacht lekker: hangt af, bepaalde kritieke patches worden wel degelijk eerder vrijgegeven, dat was zelfs laatst nog.
Je hebt het nieuws gemist dat het gebruik van IE zelfs door verschillende overheden (waaronder bijvoorbeeld de Duitse overheid) ontraden werd vanwege veiligheidsproblemen? Dat was vorige maand...

nieuws: Nederlandse overheid gaat gebruik IE niet afraden
Ja, dat komt omdat er toen toevallig een lek was in IE. Dat bericht heeft totaal geen waarde. Dat is hetzelfde als de groentenboer je adviseerd een nieuwe pc te kopen....
Als er ergens schering en inslag is met beveiligingsproblemen is het juist IE wel. Die staat er zelfs berucht om, plus die narigheid met eigen standaarden. Goed, 't is niet zo'n gedrocht als IE 6 meer, maar dat is vooral aan Mozilla te danken.
Mozilla patcht het probleem trouwens dezelfde week nog, terwijl Microsoft het eerst lekker laat zitten omdat ze een vaste patchdag hebben.
Als je het niet zekerweet moet je mening niet als feiten formuleren. Microsoft had dezelfde week (de vrijdag) al de patch uitgebracht. Daarnaast is het lekker makkelijk om een oud feit (eigen standaarden en slechte beveiligen), na jaren nog te hanteren op Internet Explorer. Dit is tweakers.net en geen nu.nl of 9gag.com.

Uit meerdere testen is zelfs naar boven gekomen dat Ie9/10 sinds de laatste paar patches veiliger is dan iedere browser da ook

edit; Als je met een bron komt, moet je er wel 1 gebruiken die niet een jaar oud is...

[Reactie gewijzigd door vali op 11 oktober 2012 11:46]

Uit andere testen blijkt weer dat Chrome veel beter is als IE ;) Het is maar net wie het onderzoek gedaan heeft.

http://www.security.nl/ar..._Firefox_onveiligste.html

Laten we de waarheid in het midden zoeken? IE en Chrome zijn in ieder geval veiliger als FireFox is blijkt uit de testen :)
Dit artikel vermeld ook: "Wat betreft de sponsoring van het onderzoek door Google, stelt het bedrijf dat het de opdracht kreeg om een "objectieve" uitleg over de beveiligingsmaatregelen van de verschillende browsers te geven"...

Verder is het artikel heel oud, en is het betwijfelbaar of al die genoemde 'sandbox' zaken (of het ontbreken daarvan) wel een goede indicatie van beveiliging is. Als er veel hangsloten op hangen, maar ze zijn allemaal makkelijk te kraken is het nog steeds onveilig...
Daar tegenover staat dat de NSS volgens een paar bloggers bovengemiddeld vaak positief is over IE. Aan elk onderzoek lijkt tegenwoordig een luchtje te zitten.
Uit meerdere testen is zelfs naar boven gekomen dat Ie9/10 sinds de laatste paar patches veiliger is dan iedere browser da ook
Dat IE goed is in 1 trucje, bewijst niet dat het veiliger is dan welke browser dan ook.

Er is meer dan alleen click fraude natuurlijk.
Ik ben ook voor de PVV.
Maar, als webbrowser prefereer ik Opera. :)
Wel een beetje vreemde volgorde, eerst de veel minder gebruikte android app updaten en daarna pas de desktop versie.
Hoeft niet vreemd te zijn, wellicht was de Android app makkelijker te patchen, was er sneller een kundige developer beschikbaar, of was de patch sneller uit te rollen.
Misschien was de Android versie van een latere build, waarin de patch al verwerkt zat. Daarom is misschien een nieuwe versie met patch van de desktop versie zo snel te bakken. (@ pfranze).
misschien is Mozilla Android guy wel heel erg snel of het heeft minder tests nodig om uit te rollen.
Voor een Proof of concept van de vulnerability, zie https://news.ycombinator.com/item?id=4639491
2 voorbeelden met Twitter en Facebook.
Waar het dus om gaat is dat het in FF16 mogelijk is de actuele URL op te vragen van een vanuit javascript geopende window of iframe op een ander domein, waar mogelijk gevoelige informatie in voorkomt. Zoals het voorbeeld met twitter, de window wordt geopend voor twitter.com/lists/, maar die wordt uiteindelijk geredirect naar twitter.com/<jouw_username>/lists, waardoor het voor een willekeurige pagina dus mogelijk is om jouw twitter username te achterhalen. Dit probleem wordt uiteraard nog veel gevaarlijker op het moment dat er sessie-informatie in de URL komt te staan die op die manier gehijacked kan worden.

Normaliter wordt er gekeken of het domein van de pagina met de javascript en het domein van de andere pagina overeenkomen voordat dergelijke informatie uitgewisseld wordt. Zo geeft Chrome bij dat twitter voorbeeld doodleuk de volgende melding in de javascript console:
Unsafe JavaScript attempt to access frame with URL https://twitter.com/***/lists from frame with URL http://www.businessinfo.c..._did_last_summer/poc.html. Domains, protocols and ports must match.

[Reactie gewijzigd door .oisyn op 11 oktober 2012 10:46]

...voor kwaadwillende sites om te achterhalen welke url's zijn bezocht.
Qua beveiligingsproblemen is dit wel een beetje een scheet in een vuilniszak. Ik voel in elk geval nog geen dringende behoefte om te downgraden.
Privacy...
Lijkt mij ook stuk makkelijker om sessies te kapen als je info uit de URL parameters kan halen.
Ik snap best dat dit in potentie ernstig kan zijn.

Je moet alleen vanaf een site waar je prive zaken afhandeld doorsurfen naar een site die toevallig je url historie oplepeld. En wel binnen de periode van de komende paar dagen.

Vervelende fout, maar ik maak me hierover geen zorgen.

*Edit: De patch komt net binnen, dus die komende paar dagen moest zijn, het komende uur. :)

[Reactie gewijzigd door pkoopmanpk op 11 oktober 2012 22:03]

"Firefox 16 werd donderdag nog uitgerold en..."

Moet dit geen dinsdag zijn??
Dat is al vaker gebeurd. Hebben ze sinds het opgevoerde release-schema geen tijd meer om major bugs (zoals deze) na te kijken voor de release de wereld in te sturen?

[Reactie gewijzigd door Petervanakelyen op 11 oktober 2012 10:32]

Nee, er is niet met het nieuwe release schema niet getornd aan (unit) tests en triaging. De updates hebben veel meer een incrementeel karakter en het is nu mogelijk juist de minor bugs aan te pakken binnen het release schedule.
Bovendien kunnen kwaadwillenden 'toegang krijgen tot de url en de url-parameters', schrijft de beveiligingscoördinator van Mozilla. Wat daarmee precies wordt bedoeld, is onduidelijk.
Het lijkt me dat daarmee de parameters worden bedoelt die meegegeven kunnen worden in een URL. Voorbeeld: http://www.test.nl/index.php?test=1&token=83bca979&voorbeeld=ja.
Hier zou bij sommige websites wat gebruikersinformatie uit onttrokken kunnen worden.

Edit: URL aangepast, zodat de link naar Tweakers.net wijst.

[Reactie gewijzigd door Bux666 op 11 oktober 2012 12:46]

Intelligentie is niet hetzelfde als kennis, en als je denkt dat dat wel zo is dan getuigt dat niet van veel intelligentie ;)

Overigens ben ik het wel met je onderliggende punt eens, ik had een wat meer in-depth artikel verwacht op tweakers.net. Het kostte mij slechts 10 minuten voordat ik erachter was wat er nou precies aan de hand was en mijn post te tikken. De kennis zit bij t.net op kantoor, en je weet dat dergelijke interesse ook bij de lezers aanwezig is, dus het lijkt mee een redactoriële misser dat dit niet gewoon goed is opgepikt.

[Reactie gewijzigd door .oisyn op 11 oktober 2012 10:50]

Op dit item kan niet meer gereageerd worden.



Populair: Desktops Samsung Smartphones Privacy Sony Microsoft Apple Games Consoles Politiek en recht

© 1998 - 2014 Tweakers.net B.V. Tweakers is onderdeel van De Persgroep en partner van Computable, Autotrack en Carsom.nl Hosting door True

Beste nieuwssite en prijsvergelijker van het jaar 2013