Mozilla dicht sandbox escape-zerodaylek in Firefox

Mozilla heeft ook de tweede zerodaykwetsbaarheid in Firefox die actief misbruikt werd, verholpen. Deze patch is voor een lek dat het mogelijk maakte de sandbox te verlaten, waardoor in combinatie met andere kwetsbaarheden code op getroffen computers was uit te voeren.

De patch voor kwetsbaarheid CVE-2019-11708 brengt Firefox naar versie 67.0.4 en Firefox ESR naar 60.7.2. Mozilla licht toe dat de parameters voor Prompt:Open-berichten niet voldoende gecontroleerd werden, waardoor kwaadwillenden webinhoud konden openen zonder de restricties van de sandbox.

In combinatie met het woensdag gedichte zerodaylek zorgde deze sandbox escape ervoor dat aanvallers willekeurige code konden uitvoeren op getroffen systemen. Simpelweg een webpagina met kwaadaardige code was voldoende om een geslaagde aanval in gang te zetten.

Medewerkers van de beurs voor cryptovaluta Coinbase werden aangevallen via de twee kwetsbaarheden, zo ontdekte het bedrijf maandag. Coinbase wist de aanval af te slaan en lichtte Mozilla in, meldt de chief information security officer van het bedrijf, Philip Martin. Coinbase zou niet de enige organisatie op het gebied van cryptovaluta zijn die is aangevallen. De beurs komt op korte termijn met meer details over de aanval.

Door Olaf van Miltenburg

Nieuwscoördinator

Feedback • 21-06-2019 12:54 17

21-06-2019 • 12:54

17

Lees meer

Mozilla Firefox

geen prijs bekend

4.5 van 5 sterren
Mozilla brengt noodpatch uit voor Firefox wegens lek dat actief wordt misbruikt
Mozilla brengt noodpatch uit voor Firefox wegens lek dat actief wordt misbruikt Nieuws van 8 januari 2020
Qualcomm Snapdragon-socs zijn kwetsbaar voor wifiaanval
Qualcomm Snapdragon-socs zijn kwetsbaar voor wifiaanval Nieuws van 6 augustus 2019
Firefox 70 gaat waarschuwingen geven bij http-sites en uitgelekte wachtwoorden
Firefox 70 gaat waarschuwingen geven bij http-sites en uitgelekte wachtwoorden Nieuws van 17 juli 2019
Mozilla inventariseert interesse van gebruikers voor betaald Firefox-abonnement
Mozilla inventariseert interesse van gebruikers voor betaald Firefox-abonnement Nieuws van 5 juli 2019
Firefox 68 krijgt fix voor problemen met antivirus door https-websites
Firefox 68 krijgt fix voor problemen met antivirus door https-websites Nieuws van 2 juli 2019
Mozilla lost kritieke kwetsbaarheid op in Firefox die actief wordt misbruikt
Mozilla lost kritieke kwetsbaarheid op in Firefox die actief wordt misbruikt Nieuws van 19 juni 2019
Firefox 69 krijgt een geïntegreerde wachtwoordgenerator
Firefox 69 krijgt een geïntegreerde wachtwoordgenerator Nieuws van 19 juni 2019
Meer producten en artikelen
Browsers Beveiliging en antivirus Mozilla Firefox

Reacties (17)

-Moderatie-faq
17
16
12
2
1
3
Wijzig sortering
Solopher 21 juni 2019 13:33
Voor de mensen die Ubuntu linux en de meerst recente versie willen:

Ik heb 'm geïnstalleerd via een PPA: https://launchpad.net/~ub...urity/+archive/ubuntu/ppa

sudo add-apt-repository ppa:ubuntu-mozilla-security/ppa
sudo apt update && sudo apt upgrade firefox

Van de week moest ik ook al langer wachten op een update, met zerodays etc. ben ik liever direct gepatched.

Edit: [code] tags werken niet op de FP :Y)

[Reactie gewijzigd door Solopher op 22 juli 2024 19:24]

William_H @Solopher21 juni 2019 14:00
Je kunt met Ubuntu ook gewoon naar het "software-center" gaan, als je Firefox niet tussen de updates ziet staan bij "Software-updates".
Daar staan ook updates en zo kon ik, zonder in de terminal te hoeven gaan, Firefox updaten afgelopen week.
Zidane007nl @William_H21 juni 2019 14:19
Dan krijg je wel de snap versie. En snap versies hebben standaard last van theming issues.

[Reactie gewijzigd door Zidane007nl op 22 juli 2024 19:24]

William_H @Zidane007nl21 juni 2019 14:22
Totaal geen last van, maar misschien komt dat omdat ik een Firefox account draai.
Daarnaast heb ik gewoon een update uitgevoerd via "software-center" , niet een installatie. Lijkt me toch niet dat dat een snap-versie naast een gewone deb versie installeert.
Zidane007nl @William_H21 juni 2019 15:51
Ik heb geen ervaring met het updaten van packages via de software center. Dat doe ik meestal via de terminal. ;)

Maar ik krijg twee resultaten als ik zoek naar Firefox. De versie geïnstalleerd via een debian package en de snap versie (die al wel op 67.0.4 zit).
desalniettemin
@Zidane007nl21 juni 2019 18:32
En starten langzamer op en zijn ook onveiliger. Althans sommigen beweren dat. Heb er zelf geen ervaring mee.
Carlos0_0 @Solopher21 juni 2019 14:17
Ik heb hem dan op de Mac maar heb hem gisteren al gehad, gewoon via firefox update.
Neem aan dat die ook wel redelijk direct bij linux in software center/ updates staat ?
MaestroMaus @Carlos0_021 juni 2019 17:21
Vroeger gingen updates bij Linux op dezelfde manier als bij Windows normaal is: als je iets nodig had dan moest je daar de laatste versie van downloaden en soms hadden programma's een eigen update checker. Dit is al lang niet meer gebruikelijk en wordt normaal gesproken alleen gebruikt wanneer je geen andere opties hebt. Denk bijvoorbeeld aan zeldzame/oude wifi chips die alleen closed source drivers hebben van een leverancier die Linux niet serieus neemt.

Daarnaast werdt/wordt er door sommige distributies nog steeds gedaan aan het verspreiden van alleen de open source code (Gentoo, Slack, Arch). De computer moet dan iedere keer wanneer je bepaalde software wil de software voor je machine compileren. Dit is een redelijk gemakkelijk proces, maar voor de meeste gebruikers niet hun favoriete oplossing.

Er zijn meerdere gangbare manieren om je software updates te doen op Linux. De eerste manier is via een pakket beheerder. Alle software is hier in pakketvorm aanwezig (ja ook de Linux kernel, je grafische interface en alle andere elementaire zaken) om aan of uit te vinken. Deze download automatisch de benodigde pakketten, zoekt en download automatisch andere pakketten als deze nodig zijn voor jouw geselecteerde pakketten en zoekt automatisch naar updates.

Sinds een paar jaar hebben de verschillende distributies een extra grafische schil om dit systeem gedaan om zo een app-store ervaring ervan te maken. En sinds een paar jaar zijn ze ook begonnen met het aanbieden van verschillende soorten (gesandboxte) containers waarin een pakket zit samen met eventuele andere benodigde pakketten (vergelijkbaar met docker) zowel in de stores (en dus ook de pakket beheer software).

Afhankelijk van wat je prettig vindt en wat je nodig hebt download en gebruik je de manier die je wenst. Het updaten is dus niet echt vergelijkbaar met Mac OS. Je moet wachten tot iemand een nieuw pakket geupload heeft of een van de andere manieren proberen.

[Reactie gewijzigd door MaestroMaus op 22 juli 2024 19:24]

desalniettemin
@MaestroMaus21 juni 2019 18:33
Ik update de beta van Firefox altijd zelf. Die updaten elke dinsdag en vrijdag avond. Meestal in ieder geval.

[Reactie gewijzigd door desalniettemin op 22 juli 2024 19:24]

desalniettemin
@Solopher21 juni 2019 18:28
Ik gebruik altijd de beta's en nooit de PPA, maar de tarball. Ook voor Thunderbird. Updates volgen sneller dan de PPA's is mijn ervaring.
Bierkameel 21 juni 2019 13:53
Ik was een paar weken terug van plan om over te stappen van Chrome naar Firefox maar dat was net in de week met de certificaat problemen, nu weer 2 zero day exploits. Ik sla Firefox nog maar even over.
Rudie_V @Bierkameel21 juni 2019 14:20
Dat certificaatprobleem was misschien wat knullig, maar deze exploits van deze week zijn niets anders dan wat bij andere browsers ook voor komt. Misschien wat vaker de security bulletins van je browser updates lezen om te zien welke exploits er allemaal gedicht worden. :)
Overigens werd met de update van 2 dagen geleden al bekend gemaakt dat er nog een exploit was in de sandbox die nu dus opgelost werd. Opzich beter dat ze alvast één exploit hebben gedicht en een update hebben uitgerold in plaats van nog even te wachten totdat ze deze tweede exploit ook hadden gedicht.
nieuws: Mozilla lost kritieke kwetsbaarheid op in Firefox die actief wordt mi...
Groß zegt tegenover ZDNet dat het lek remote code execution mogelijk maakt, maar er moet los daarvan nog een andere sandbox escape gebruikt worden om code uit te kunnen voeren op het besturingssysteem van het slachtoffer.
Waarschijnlijk was je dan afgelopen maart van chrome naar firefox overgestapt? ;)
nieuws: Google dicht kwetsbaarheid in Chrome-browser die actief misbruikt wordt
Carlos0_0 @Bierkameel21 juni 2019 14:19
Elke browser heeft wel zero day exploits, om nu daar voor niet over te stappen.
Het is juist goed dat Mozilla ze direct zo snel patcht en hier over leest, liever dit dan dat je 1 keer per maand update voorbij ziet komen(Met vele Fixes).

Moet zeggen certificaat probleem weinig last heb gehad.
ELD @Bierkameel21 juni 2019 14:30
Hier de CVE's van Chrome, beetje kortzichtig zo.

https://www.cvedetails.co...-15031/Google-Chrome.html
Vexxon @Bierkameel21 juni 2019 16:19
Misschien dan toch maar een andere browser zoeken:

https://www.zdnet.com/art...-user-data-via-pdf-files/
MrMonkE @ArcticWolf22 juni 2019 10:30
Het was vooral slecht omdat het de tweede keer was.

(Ik blijf gewoon FF gebruiken.. no google.. no ms.)

[Reactie gewijzigd door MrMonkE op 22 juli 2024 19:24]

Op dit item kan niet meer gereageerd worden.

Apple iPhone 16e LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq