Mozilla lost kritieke kwetsbaarheid op in Firefox die actief wordt misbruikt

Mozilla heeft een update voor Firefox 67 uitgebracht na de ontdekking van een kritieke kwetsbaarheid die actief wordt misbruikt. Gebruikers wordt aangeraden om zo snel mogelijk te updaten. In versie 67.0.3 is het beveiligingslek opgelost.

Op zijn website maakt Mozilla een korte melding van het beveiligingslek. Het gaat om een zerodaykwetsbaarheid die volgens de browsermaker actief wordt misbruikt. Beveiligingsonderzoeker Samuel Groß van Google Project Zero en het Coinbase Security-team staan vermeld als ontdekkers van het lek.

Groß zegt tegenover ZDNet dat het lek remote code execution mogelijk maakt, maar er moet los daarvan nog een andere sandbox escape gebruikt worden om code uit te kunnen voeren op het besturingssysteem van het slachtoffer. Volgens de onderzoeker kan het lek waarschijnlijk ook misbruikt worden voor universal cross-site scripting.

Mozilla geeft geen details over de aanvallen die worden uitgevoerd. Omdat het lek mede gemeld is door het beveiligingsteam van Coinbase, is het denkbaar dat het gaat om aanvallen gericht op eigenaren van cryptomunten. Google-onderzoeker Groß zegt geen details te weten over het misbruik. Hij heeft het lek op 15 april gevonden en aan Mozilla gemeld. De Firefox-maker heeft de bug opgelost in versie 67.0.3 van de browser.

Door Julian Huijbregts

Nieuwsredacteur

Feedback • 19-06-2019 17:20
28 • submitter: dotnes

19-06-2019 • 17:20

28

Submitter: dotnes

Lees meer

Mozilla Firefox

geen prijs bekend

4.5 van 5 sterren
Mozilla brengt noodpatch uit voor Firefox wegens lek dat actief wordt misbruikt
Mozilla brengt noodpatch uit voor Firefox wegens lek dat actief wordt misbruikt Nieuws van 8 januari 2020
Google Project Zero laat openbaar maken bugs niet langer afhangen van fix
Google Project Zero laat openbaar maken bugs niet langer afhangen van fix Nieuws van 8 januari 2020
Mozilla inventariseert interesse van gebruikers voor betaald Firefox-abonnement
Mozilla inventariseert interesse van gebruikers voor betaald Firefox-abonnement Nieuws van 5 juli 2019
Medewerker Canadees financieel bedrijf laat data 2,7 miljoen mensen uitlekken
Medewerker Canadees financieel bedrijf laat data 2,7 miljoen mensen uitlekken Nieuws van 22 juni 2019
Mozilla dicht sandbox escape-zerodaylek in Firefox
Mozilla dicht sandbox escape-zerodaylek in Firefox Nieuws van 21 juni 2019
Google dicht kwetsbaarheid in Chrome-browser die actief misbruikt wordt
Google dicht kwetsbaarheid in Chrome-browser die actief misbruikt wordt Nieuws van 7 maart 2019
Meer producten en artikelen
Networking en security Browsers Mozilla Firefox Beveiliging

Reacties (23)

-Moderatie-faq
23
20
14
4
1
4
Wijzig sortering
user458 19 juni 2019 18:16
Let op! TOR browser is in tegenstelling tot de reguliere Firefox nog niet bijgewerkt. Dat betekent dat je met de TOR browser in theorie nog vatbaar voor deze aanval(len).
Tip: totdat er een versie uitkomt gebaseerd op FF60.7.1esr, zorg dat je op Security Level "Safest" zit, zodat JavaScript nooit wordt uitgevoerd in je browser.
dwizzy @user45819 juni 2019 23:20
"Tor Browser 8.5.2 is now available from the Tor Browser Download page [...]
This release is fixing a critical security update [3] in Firefox. In addition we update NoScript to 10.6.3, fixing a few issues." :)
Sharkoon @user45819 juni 2019 19:22
Websites zonder javascript? Dat kan tegenwoordig niet meer hoor.
biglia @Sharkoon20 juni 2019 00:10
Hij heeft het over websites op Tor. Veel van die sites worden gemaakt rekening houdend dat de meeste bezoekers geen JavaScript uitvoeren. Websites zonder JavaScript kunnen dus nog steeds zolang je hiermee rekening houdt. Ze zullen wel niet zo functioneel zijn als sites mét JavaScript, maar het werkt en het is vooral veilig. Dat is wat telt bij Tor.
Stoelpoot @biglia20 juni 2019 09:20
Is dat niet sowieso een "regel" van TOR, dat Javascript het gevaarlijkste is in die omgeving qua tracking / safety?
Remenic @Sharkoon19 juni 2019 19:51
Klopt ik denk dat geen enkele site die ik bezoek dan nog volledig navigeerbaar zal zijn. Het is jammer, want Javascript wordt zoveel misbruikt en het creëert zo nu en dan sowieso een frustrerende ervaring. Ook zonder Javascript zou de meeste content nog steeds prima geconsumeerd moeten kunnen worden.
steppert @Remenic20 juni 2019 13:41
ja inderdaad met umatrix werken alle drop down menu´s niet meer en verwijs knoppen en dergelijke. naja meestal moet ik dan gstatic googleapis cdn en dergelijke activeren.
GertMenkel
@Sharkoon19 juni 2019 21:53
Dat is super waar en ook super triest.
Sharkoon @GertMenkel20 juni 2019 08:34
Waarom is dat triest? Het is triest dat het zo lek is, niet om het te gebruiken waarvoor het gemaakt is.
Jerie @user45819 juni 2019 22:43
Firefox ESR op Debian Stretch heeft die fix: https://security-tracker.debian.org/tracker/firefox-esr

JavaScript in Tor Browser uitvoeren is hoe dan ook discutabel...
bbob 19 juni 2019 17:29
15 april gemeld en dan pas na 2 maanden patch.
Als het een zero day is dan volgens het artikel actief gebruikt wordt lijkt me 2 maanden toch echt lang voor een patch.
batjes
@bbob19 juni 2019 18:26
Soms is het maken van een patch zo makkelijk nog niet. Het kan voorkomen dat hele onderdelen nagekeken moeten worden of zelfs herschreven mogen worden. Het daadwerkelijke probleem kan ook in kritieke onderdelen zitten waardoor het test traject wel eens erg ellendig kan worden.

2 maanden is afhankelijk van de situatie best schappelijk. 3 maanden is de norm en langer is ook niet ongehoord.
RoestVrijStaal @bbob19 juni 2019 19:36
15 april gemeld en dan pas na 2 maanden patch.
Er lijkt toch iets aan gedaan te zijn op 8 Mei 2019

Opvallend is dat Pale Moon er niet vatbaar voor lijkt te zijn.
Of de exploit is geïntroduceerd door implementatie van Australis of Quantum. Of het zat al in de Firefox 24.x codebase, maar hebben de Pale Moon ontwikkelaars tijdens een cleanup de code verwijderd of gefixt.

[Reactie gewijzigd door RoestVrijStaal op 23 juli 2024 08:45]

Creesch @RoestVrijStaal19 juni 2019 19:55
> is geïntroduceerd door implementatie van Australis of Quantum.

Beetje kort door de bocht, er zijn meer ontwikkelingen geweest dan alleen dit aan Firefox. Daarnaast ben ik wel benieuwd hoe de ontwikkelaar van pale moon dit zo stellig kan beweren. Volgens mij zitten er maar één of twee ontwikkelaars op het pale moon project en ik vraag me af of ze zo grondig de code base kunnen afpluizen om dit zo stellig neer te zetten.
RoestVrijStaal @Creesch19 juni 2019 20:05
> is geïntroduceerd door implementatie van Australis of Quantum.

Beetje kort door de bocht, er zijn meer ontwikkelingen geweest dan alleen dit aan Firefox. Daarnaast ben ik wel benieuwd hoe de ontwikkelaar van pale moon dit zo stellig kan beweren.
En daarom zei ik:
Opvallend is dat Pale Moon er niet vatbaar voor lijkt te zijn.
niet vatbaar voor lijkt te zijn.
lijkt te zijn.
lijkt
Ik had zelf ook liever gezien dat er een website o.i.d. was om te testen of je browser vatbaar is.
Volgens mij zitten er maar één of twee ontwikkelaars op het pale moon project en ik vraag me af of ze zo grondig de code base kunnen afpluizen om dit zo stellig neer te zetten.
There we go again.

Ja, het is een minder aantal ontwikkelaars dan het aantal dat aan Firefox werkt. Maar de stelling één of twee ontwikkelaar(s) is niet waar.

Merk ook op dat bij Pale Moon meer code verwijderd of gerefacted wordt, i.t.t. Firefox waarin just meer code toegevoegd of domweg vervangen wordt.

[Reactie gewijzigd door RoestVrijStaal op 23 juli 2024 08:45]

Creesch @RoestVrijStaal19 juni 2019 20:52
Ja, het is een minder aantal ontwikkelaars
74 waarvan 14 met meer dan een handvol commits en 5 er echt substantieel bijdragen vind ik nou niet echt een overtuigend argument als je het tegen je andere link aanhoud. Browsers tegenwoordig zijn geen eenvoudige applicaties en het is verdomd lastig om als een klein de ontwikkelingen bij te houden en beveiliging op orde. En ook als je kijkt naar de laatste commits is er toch echt sprake van grotendeels een een mans project waar zo af en toe mensen bijspringen.

Dat is verder helemaal prima, maar ik vind het dan wel een erg stellige claim om te zeggen dat het niet in de pale moon code zit en vervolgens tussen neus en lippen door te zeggen dat ze de komende tijd nog wel extra naar de code gaan kijken. Dat lijkt meer op "Ik denk dat wij er geen last van hebben maar ik moet het nog controleren"....
Dreamvoid 19 juni 2019 17:36
Als je javascript blokkeert ben je neem ik aan wel gewoon veilig? Als in, als er sowieso geen scripts draaien dan kan het ook niet cross-site?
akaash00 @Dreamvoid19 juni 2019 17:43
Meestal wel ja, maar ik neem aan dat je niet alle javascript blokkeert om websites werkend te houden. :)
wolver1ne @Marctraider19 juni 2019 17:29
Welke software volgens jou is 100% veilig?
broodplank @wolver1ne19 juni 2019 18:54
hello world is waarschijnlijk wel veilig

Op dit item kan niet meer gereageerd worden.

Apple iPhone 16e LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq