Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 51 reacties
Bron: Mozilla

Zopas werd de redactie erop geattendeerd dat Mozilla een nieuwe versie van de populaire opensourcebrowser heeft beschikbaar gesteld. De software met versienummer 2.0.0.5 moet komaf maken met een aantal vervelende exploits. Na eerdere berichten over kwetsbaarheid van de combinatie van Internet Explorer met Firefox, maakte Mozilla al bekend dat Firefox 3 uitgesteld werd tot 18 september. De problemen met betrekking tot Internet Explorer moeten met het installeren van deze nieuwe Firefox-versie echter opgelost zijn, al kunnen andere applicaties wel kwetsbaar blijven als Internet Explorer niet van een update voorzien wordt.

Linux-versies zijn eveneens beschikbaar, alsook een Mac-editie. Ook andere smaakjes en talen zijn op de Mozilla-ftp-server te vinden.

  • MFSA 2007-25 XPCNativeWrapper pollution
  • MFSA 2007-24 Unauthorized access to wyciwyg:// documents
  • MFSA 2007-23 Remote code execution by launching Firefox from Internet Explorer
  • MFSA 2007-22 File type confusion due to %00 in name
  • MFSA 2007-21 Privilege escallation using an event handler attached to an element not in the document
  • MFSA 2007-20 Frame spoofing while window is loading
  • MFSA 2007-19 XSS using addEventListener and setTimeout
  • MFSA 2007-18 Crashes with evidence of memory corruption
Moderatie-faq Wijzig weergave

Reacties (51)

maakte Mozilla al bekend dat Firefox 3 uitgesteld werd tot 18 september.
Correctie: de eerste beta van Fx 3 wordt rond die tijd verwacht. Ik denk dat het zeker tot eind december of zelfs begin 2008 duurt voordat Fx 3 gereleased wordt.
Hmm staat in de Wiki rond November, exact een jaar na 2.0

Maar er zal wel weer iets tegen zitten mja.
De wiki kan je met een grote korrel zout nemen, die is al hopeloos verouderd...

Dit is een beter schema (gaat tot aan de beta's).

[Reactie gewijzigd door Smithers.83 op 19 juli 2007 12:54]

Kennelijk is het een dermate belangrijke update dat hij nu ook meteen via de update functie in Firefox beschikbaar is. Meestal is het zo dat updates via de updatefunctie wat langer op zich laten wachten.

Het blijft altijd mooi dat je geopende tabs en vensters weer netjes worden geladen nadat de update ge´nstalleerd is. Die manier van updaten zou vaker moeten worden toegepast :)
Dat klopt. Sterker nog: deze update stond eigenlijk pas in de planning voor 31 juli. Maar door de (media)aandacht voor deze kwetsbaarheid heeft Mozilla besloten om de release te versnellen naar vandaag. Een prima zaak! :)
Inderdaad, en daardoor spelen ze de kaarten door naar Microsoft: nu kunnen ze zeggen dat het Firefox is dat sneller inspeelt op security issues in Microsoft-software dan Microsoft zelf. Ik ben alvast benieuwd naar de reactie van Microsoft: als ze niet binnen een paar dagen met een oplossing komt, dan krijgt Microsoft haar beschuldiging aan het adres van Firefox als een boemerang in haar eigen gezicht terug B-)
Voor zover ik snap waarover het probleem ging was het hier weldegelijk firefox die iets te verwijten viel. Internet Explorer gaf de input van de gebruiker rechtstreeks door aan firefox, en firefox controleerde deze invoer niet op veiligheidsrisico's.
Als dit in IE gefixed zou moeten worden zou IE van alle mogelijke third party programma's moeten weten hoe de invoer geformateerd is en wat er in die specifieke applicatie mee zou kunnen gedaan worden om de invoer correct te kunnen controleren.
Lees dit maar eens: http://www.opensourcenieu...php/content/view/4167/57/

Het is dus weldegelijk een fout van IE, want nu FF de bug heeft opgelost is de bug nog steeds aanwezig omdat zelfs als IE nog tig andere programma's op deze manier kan starten.
Het is een fout in de interpertatie van werken.. Allebei zijn ze niet goed bezig.

bv als alle browsers de doorgegeven url controleren is d'r niks aan de hand. OF als alle browsers alle content die ze binnen krijgen controleren. Het werkt allebei, en als een van de twee het doet is d'r niks aan de hand.

echter als een het dus niet doet gaat het fout.

Het gaat echter altijd fout aan het ongecontrolleerd doorgeven van de URL want ongecontrolleerd ontvangen gaat wel goed, zolang ervoor is gecontrolleerd.
zo te zien is er ook een memory leak opgelost. Bij mij liep het gebruikte geheugen voor FF vaak op tot 200MB. Nu is ie slechts 80. Als het geheugengebruik nog lager kan worden gebracht, dan heb je hier een tevreden gebruiker :)
Ik zit ook alweer op bijna 200 Mb met deze update hoor, nog niets opgeschoten. Nou heb ik 2 Gb intern dus zo belangrijk is het niet maar toch wel storend dat ze dat na een jaar nog steeds niet aangepakt hebben.

Het is gewoon niet nodig.
Het geheugengebruik is inderdaad aan de hoge kant, vooral als je veel tabs open hebt staan. Gelukkig help het uitschakelen van de back/forward cache en het inkrimpen bij minimaliseren behoorlijk.

about:config
- browser.sessionhistory.max_entries: 0 (ipv 50)
- browser.sessionhistory.max_total_viewers: 0 (ipv -1 -automatisch-)
- config.trim_on_minimize: true

Op deze manier is er weer met FireFox te werken. heeft ie weer teveel onder z'n hoede? even minimaliseren en terug maximaliseren en het geheugengebruik is van 300+MB naar 15MB gekrompen. Het is geen complete fix though, na dit begint ie doodleuk het hele geheugen weer langzaam vol te gooien, helaas....

[Reactie gewijzigd door DiSiLLUSiON op 19 juli 2007 15:50]

Update ging niet helemaal lekker, na download van de automatische update vanochtend en restart gaf hij een fout en ging vervolgens weer de update downloaden, kwam terecht in een loop.
Vervolgens maar gewoon de nieuwe versie gedownload en geinstalleerd toen de java console error weer verscheen :-(
Java update geinstalleerd en error weg.
Ten eerste kon ik niet de update via controleren op updates ophalen. Versie 2.0.0.4 was up-to-date kreeg ik terug. Verder kan ik na het ophalen van deze update ook de van de week nog opgehaalde Java update opnieuw bijwerken via Control Panel - Java Control Panel tabblad Updates. Dus helemaal vlekkeloos wordt deze update nog niet gedistribueerd.
Dat kan kloppen. Toen ik vanmiddag op de ftp-server wou kijken kwam ik er achter dat er te veel requests waren. Blijkbaar is er een stresstest elke keer als er een update online komt.
Iedere developer weet dat je altijd de input moet controleren en dus 100% fout in firefox. IE moet je daar los van zien, die doet iets wat een tester van Mozilla ook had kunnen (moeten) doen.

_Altijd_ input controleren. Los daarvan is het wel aardig als je je enigszins inzet om nette output te produceren en dat is iets waar IE had kunnen scoren. Maar dan zat er nog steeds een bug in ff. :)

edit: had reactie op Warpozio moeten zijn.

[Reactie gewijzigd door Voutloos op 19 juli 2007 11:41]

al kunnen andere applicaties wel kwetsbaar blijven als Internet Explorer niet van een update voorzien wordt.
Weer lekkere berichtgeving. De fout licht niet bij IE, maar bij de andere applicaties die niet op de juiste manier hun filehandlers configureren.
Zoals ook al in de aparte nieuwsberichten wordt aangegeven, is het moeilijk om een schuldige aan te wijzen. De fout ligt namelijk zowel bij IE als bij de applicatie, bij IE omdat IE alles maar goed vind wat doorgestuurd wordt (IE doet 0 controle), bij FF/andere applicatie omdat die niet goed controleren welke parameters ze meekrijgen. Voor beide is iets te zeggen: als programmaontwikkelaar verwacht je namelijk niet dat gebruikers het programma opstarten op een manier die exploits installeert. Voor IE zou je kunnen zeggen dat het lastig is een generieke controle te maken.
En dan heb je nog de vraag waarom een applicatie bepaalde zaken zou moeten doen terwijl dit eerder iets is wat het OS zou moeten doen (daar zijn in het verleden namelijk ook al zat fouten van geweest in Firefox waarbij het probleem eerder Windows was: dat zag je dan ook duidelijk in het verschil in versienummering tussen de Windows versie en versies voor Linux/MacOS X). Gezien de integratie van IE in Windows zelf is dat niet eens een ondenkbaar idee in dit geval.
Stop jij maar URL controle/parsing in de Linux kernel ('het OS') en dan blijf ik voortan ver bij je uit de buurt.
Hedendaagse operating systems zijn eventjes wat anders dan die in de boeken staan van 20 jaar geleden. Het OS is al meer dan alleen een kernel, het bestaat namelijk ook nog uit iets als de userland. Overigens is dit ook maar een voorbeeld dat je niet zomaar eventjes een vinger kunt uitsteken en zeggen dat Firefox danwel IE de schuldige is. Dan heb je nog een aantal bugs die in Firefox zaten welke veroorzaakt werden door de manier waarop Windows met bepaalde zaken om gaat. Het is niet aan een browser om te bepalen welk programma geopend moet worden voor welke file, dat is de taak van je OS, die moet dat allemaal bijhouden. Een voorbeeld hiervan is de MSN Messenger die zelf de browser uitzoekt en daar dus doodleuk IE voor neemt en niet de default browser die op het OS is ingesteld (wat Firefox of Opera zou kunnen zijn).

Nogmaals: het punt wat je tussen de regels hebt kunnen lezen is dat je dus niet zomaar naar iets de vinger uit kunt steken omdat sommige dingen ook een fout is van bijv. het OS. Het is niet altijd het programma wat bepaalde zaken moet doen. Jammer dat je niet goed leest, dan had je kunnen zien dat het een algemene stelling was die dus niet specifiek gaat over de URL afhandeling tussen IE en Firefox.
Het rare is dat die applicaties er alleen last van hebben i.c.m. IE. De combinatie Safari - Firefox die je op macs vindt levert daarentegen geen problemen op. Waar ligt dan de fout? ;)
Aan beide instanties, maar Firefox heeft handig de joker terug in de handen van Microsoft geschoven door het sneller op te lossen dan Microsoft. B-)
Gebruik al tijden Firefox en zou niet meer anders willen. Vriendin gebruikt nog wel altijd IE7 omdat dit sommige sites die ze veel bezoekt beter werkt.

Enige probleempje dat ik regelmatig heb is dat bij het opstarten een script hangt. Na verloop van tijd krijg ik de vraag of ik het script will stoppen of niet. Is er een eenvoudige manier na te gaan welk script/plug-in hangt zodat dit disabled kan worden?

Edit:
Ik had IETab al geinstalleerd en geconfigureerd, maar voor haar is IE iets dat ze gewend is. Voor vele gebruikers/sters is het "moeilijk" om van programma te wisselen. Zelfs als het beter/sneller/veiliger is...(ook de overstap van IE6 naar IE7 was lastig, maar IE naar FF is groter voor haar)

[Reactie gewijzigd door Xephire op 18 juli 2007 13:01]

Gebruik al tijden Firefox en zou niet meer anders willen. Vriendin gebruikt nog wel altijd IE7 omdat dit sommige sites die ze veel bezoekt beter werkt.
daar kan je ook ietab voor gebruiken... (ietab heeft een FF icon onderaan, als je er op klikt veranderd FF van engine :) )
Je kunt IETab zelfs zo instellen dat bepaalde sites altijd automatisch met IE-rendering geopend worden 8-)
En je kan instellen dat bepaalde sites altijd met IE geladen worden. Ik heb gebruik het voor de webmail op de UT. Die moeten zonodig Outlook Web Access gebruik dus laat ik https://xs.utwente.nl/* door IE renderen. Werkt erg fijn moet ik zeggen.
Die open ik ook altijd met FF, niks aan de hand :-S ?
Open hem dan maar eens met FF in combinatie met een useragent die zegt dat je IE bent. Dan krijg je een zut IE only meuk over je heen, dat wil je niet weten. OWA biedt dus andere functionaliteit voor FF als voor IE.
Waarom zou je FF gebruiken en identificeren als IE? Identiteitsfraude als je het mij vraagt en dat is niet de bedoeling. Er zijn allerlei hacks (ik weet het je zou portable code moeten maken, maar soms kan dat gewoon niet) die browser dependent is. Dus als je zegt dat je IE bent moet je ook niet gillen als je IE meuk over je heen krijgt.
Naast IE tab wellicht ook het Myfirefox of Vista-aero theme installeren voor haar? Dan heeft ze de IE7 look, IE tab mogelijkheid, en Fx veiligheid/usability
mss is het tijd voor een upgrade naar vriendin 2.0 die wel met de firefox plugin kan omgaan zonder runtime errors te geven?
heeft iemand nog ideeŰn hoe je java aan de praat krijgt. na het updaten kreeg ik namelijk het bericht dat mijn java niet compatible was met firefox
Het enige dat 'kapot' is, is het starten van de Java Console vanuit Firefox, aangezien Sun dat ding gelimiteerd had op versie 2.0.0.0. Je kan die Java Console echter ook altijd vanuit je systray starten. Geen gemis dus en het heeft ook geen invloed op zaken als Java Applets ed.
Volgens mij hoef je niets te doen. Die melding klopt niet. Ik kreeg hem ook, eerder al bij 2.0.0.4 IIRC
Kijk even bij about:plugins of java er nog bij staat. En kijk op bijvoorbeeld http://java.com of applets inderdaad nog werken.
GL!
Voor de zekerheid (weet je ook meteen zeker dat je de nieuwste hebt). Java de´ntalleren van je windows software menu (als je windows draait ofc) en dan nieuw installeren via java.sun.com :)
dat bericht is een bekende bug was idd bij de update naat 2.0.04 ook al zo, ik heb toen niks gedaan en alles bleef gewoon werken
MFSA 2007-24 Unauthorized access to wyciwyg:// documents
HÚ? Deze feature ken ik niet :o
What You Cache Is What You Get, http://en.wikipedia.org/wiki/WYCIWYG, om een pagina uit de cache te halen ipv van de server
Het was ook helemaal niet de bedoeling dat je die zou kennen... :D

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True