Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 16 reacties
Bron: Mozilla Foundation, submitter: Rafe

Mozilla Firefox 2013 logo (75 pix)Wegens een ernstig beveiligingsprobleem heeft Mozilla nieuwe versies van zijn standaard- en Extended Support Release-browsers uitgebracht. Door een speciaal geprepareerd pdf-document te openen met de ingebouwde pdf-reader, kon een hacker toegang krijgen tot de computer. Volgens Mozilla zou de kwetsbaarheid al actief worden gebruikt. Meer informatie kan in Mozilla's Security Advisory worden gevonden.

Mozilla Foundation Security Advisory 2015-78

Security researcher Cody Crews reported on a way to violate the same origin policy and inject script into a non-privileged part of the built-in PDF Viewer. This would allow an attacker to read and steal sensitive local files on the victim's computer.

Mozilla has received reports that an exploit based on this vulnerability has been found in the wild.

References

De volgende downloads zijn beschikbaar:
*Mozilla Firefox 39.0.3 voor Windows (Nederlands)
*Mozilla Firefox 39.0.3 voor Linux (Nederlands)
*Mozilla Firefox 39.0.3 voor OS X (Nederlands)
*Mozilla Firefox 39.0.3 voor Windows (Engels)
*Mozilla Firefox 39.0.3 voor Linux (Engels)
*Mozilla Firefox 39.0.3 voor OS X (Engels)
*Mozilla Firefox 39.0.3 voor Windows (Fries)
*Mozilla Firefox 39.0.3 voor Linux (Fries)
*Mozilla Firefox 39.0.3 voor OS X (Fries)

Mozilla Firefox 38.0 screenshot (620 pix)

Versienummer:39.0.3 / 38.1.1 ESR
Releasestatus:Final
Besturingssystemen:Windows 7, Linux, Windows XP, macOS, Windows Server 2003, Windows Vista, Windows Server 2008, Windows Server 2012, Windows 8, Windows 10
Website:Mozilla Foundation
Download:https://www.mozilla.com/en-US/firefox/all.html#languages
Bestandsgroottes:39,60MB t/m 73,60MB
Licentietype:Freeware
Moderatie-faq Wijzig weergave

Reacties (16)

Ik snap sowieso niet wat een pdf reader in een webbrowser doet. Laat het aan anderen over in een apart programma die zich er compleet aan kunnen toewijden en maak gewoon functies die met het web te maken hebben als betere SVG-support. Het is niet erg dat een pdf in een apart programma opent. Zorgt alleen maar dat consistent alle pdf bestanden in ÚÚn programma worden geopend.
Wegens consistentie, features en beveiliging (helaas zien we het hier weer) open ik pdf'jes mooi in een ander programma.
De populariteit van de Adobe Reader browser plugin laat blijken dat mensen het handig vinden om een PDF direct te kunnen lezen in de browser. Uit security-oogpunt is het echter zeer onverstandig om allerlei plugins te draaien die buiten de JavaScript sandbox kunnen komen. Vandaar dat Mozilla PDF.js meelevert, een JavaScript library die een PDF tekent met behulp van de standaard sandboxed HTML/CSS/JavaScript omgeving.

Jammer dat er nu toch een bug gevonden wordt in de sandbox, wat te maken heeft met de bijzondere manier waarop deze JavaScript library wordt geladen. Security bugs in browsers zullen altijd voorkomen, maar het is nog altijd veiliger dan de Adobe plugin (of een willekeurige alternatieve plugin), juist vanwege die sandbox.

Vergeet niet dat een PDF ook allerlei scripting kan bevatten, die mooi door jouw lokale reader wordt uitgevoerd. Het is dus niet zondermeer veiliger om een PDF te downloaden en te openen.

[Reactie gewijzigd door DOT op 7 augustus 2015 13:58]

Qua handigheid heb je helemaal gelijk, wat security betreft maakt het niet uit mits een recente versie van adobe reader wordt gebruikt die ook met zandbak technologie is uitgerust.

bron:
http://blogs.adobe.com/se...d-mode-part-1-design.html
Om minder afhankelijk te zijn van andere apps en omdat het vaak over een document gaat wat je via een website bekijkt. Persoonlijk heb ik liever een PDF app in Firefox die zeer regelmatig update dan een alternatief te zoeken dat apart gemanaged moet worden en ads weergeeft om de kosten te dekken.

Voor het betere PDF werk ga ik akkoord, maar dan behoor je ook niet meer bij de 99% van de gebruikers.
Er zijn voldoende pdf readers die gratis zijn, zonder advertenties en net zo vaak geŘpdatet worden als Firefox. Dus al je argumenten gaan in rook op.
Ik vind het juist ook wel fijn om een in de browser ingebouwde PDF reader te hebben. Negen van de tien keer gaat het bij mij om een documentje wat ik ÚÚn keer snel even moet inkijken (vaak om er dan achter te komen dat het niet was wat ik zocht) en weer te sluiten.

Voor het zware werk met complexe of grote PDF documenten heb ik Adobe Reader, om te bewerken Adobe Acrobat maar juist voor het snelle bekijken is het een uitkomst. Het is nog sneller dan de standaard in m'n OS ingebouwde PDF reader!
Er is ook een bug opgelost waarbij je Firefox onmogelijk ge´nstalleerd kreeg op Windows 10 - hij pakte niet alle benodigde bestanden uit. Nu werkt hij wel (bij mij, in ieder geval).
Vreemd dat FF niet wilde installeren bij jou op W10. Bij mij ging het installeren op alle pc's/laptops met W10 probleemloos...ook met alle testversies ervan. En FF werkt nog steeds probleemloos.
Het was, voor zover ik met mijn ge-google kon vinden, ook geen wijdverspreid probleem. Hier lukte het alleen niet. (Er kwam geen firefox.exe in de installatiemap, en wss nog meer missende bestanden.) Heel fijn dat het nu wel werkt!
Snap niet dat Firefox met het uitrollen van Windows 10, de minimaliseer maximaliseer knoppen niet heeft aangepakt! In de developers edition is er niks aan de hand, maar in de reguliere versie van FF overlappen het "plusteken" open a new tab (ctrl+T), het pijltje "List all tabs" en de minimaliseer maximaliseer buttons. Zo kan je in maximaliseer stand deze knoppen niet meer correct gebruiken.
Ik heb geen last van dit probleem. Heb je een linkje naar de Bugzilla thread? :)
Iemand die ook nog steeds last heeft van render problemen met PNG afbeeldingen op sites met Firefox??? Herladen verhelpt het soms, wat het een raar probleem maakt om te reproduceren voor een bugmelding. Uiteraard cache een keer geleegd, zonder add-ons opgestart, opnieuw ge´nstalleerd (dus met een nieuw profiel).... Heel vreemd. Wie het weet mag het zeggen.
[...] opnieuw ge´nstalleerd (dus met een nieuw profiel)
Daar zit geen verband tussen, hoor. Je kunt prima Firefox verwijderen en herinstalleren zonder je profiel te verliezen. Die moet je handmatig verwijderen. Start firefox met -p op en maak daar een nieuw profiel.

Verder moet je eens naar je videodrivers kijken. En als je het probleem blijft houden even een topic op het forum (GoT) maken, niet in de comments ;)
[...]

Daar zit geen verband tussen, hoor. Je kunt prima Firefox verwijderen en herinstalleren zonder je profiel te verliezen. Die moet je handmatig verwijderen. Start firefox met -p op en maak daar een nieuw profiel.
Sorry, vergeten te vertellen. Ik had inderdaad het profiel handmatig verwijderd om te kijken of het effect sorteerde, maar helaas.

En ja, ik weet dat GoT daarvoor is. Dacht misschien heb ik een fix gemist in deze lijst of een vorige. En dan is dit opzich nog niet zo'n slechte plek om het probleem te beschrijven. Maar goed dat je er mij aan herinnert. Overigens zijn het niet de videodrivers, want ik heb het op meer machines die niet hetzelfde zijn.
Hmm, ik vind het vreemd dat pdf.js in Firefox met extra rechten gedraaid wordt. Het is logisch dat dit deeltje toegang krijgt tot de datastream die van de website komt (anders kan je de PDF Řberhaupt niet tonen), maar verder zou het in mijn ogen veilig moeten kunnen draaien in de gewone JavaScript container.

Ik kijk alvast uit naar de verwijdering van het embargo op de bug om te kijken hoe deze door de mazen van het net geglipt is :)

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True