Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Mozilla dicht sandbox escape-zerodaylek in Firefox

Mozilla heeft ook de tweede zerodaykwetsbaarheid in Firefox die actief misbruikt werd, verholpen. Deze patch is voor een lek dat het mogelijk maakte de sandbox te verlaten, waardoor in combinatie met andere kwetsbaarheden code op getroffen computers was uit te voeren.

De patch voor kwetsbaarheid CVE-2019-11708 brengt Firefox naar versie 67.0.4 en Firefox ESR naar 60.7.2. Mozilla licht toe dat de parameters voor Prompt:Open-berichten niet voldoende gecontroleerd werden, waardoor kwaadwillenden webinhoud konden openen zonder de restricties van de sandbox.

In combinatie met het woensdag gedichte zerodaylek zorgde deze sandbox escape ervoor dat aanvallers willekeurige code konden uitvoeren op getroffen systemen. Simpelweg een webpagina met kwaadaardige code was voldoende om een geslaagde aanval in gang te zetten.

Medewerkers van de beurs voor cryptovaluta Coinbase werden aangevallen via de twee kwetsbaarheden, zo ontdekte het bedrijf maandag. Coinbase wist de aanval af te slaan en lichtte Mozilla in, meldt de chief information security officer van het bedrijf, Philip Martin. Coinbase zou niet de enige organisatie op het gebied van cryptovaluta zijn die is aangevallen. De beurs komt op korte termijn met meer details over de aanval.

Door Olaf van Miltenburg

Nieuwscoördinator

21-06-2019 • 12:54

17 Linkedin Google+

Reacties (17)

Wijzig sortering
Voor de mensen die Ubuntu linux en de meerst recente versie willen:

Ik heb 'm geïnstalleerd via een PPA: https://launchpad.net/~ub...urity/+archive/ubuntu/ppa

sudo add-apt-repository ppa:ubuntu-mozilla-security/ppa
sudo apt update && sudo apt upgrade firefox


Van de week moest ik ook al langer wachten op een update, met zerodays etc. ben ik liever direct gepatched.

Edit: [code] tags werken niet op de FP :Y)

[Reactie gewijzigd door Solopher op 21 juni 2019 13:34]

Je kunt met Ubuntu ook gewoon naar het "software-center" gaan, als je Firefox niet tussen de updates ziet staan bij "Software-updates".
Daar staan ook updates en zo kon ik, zonder in de terminal te hoeven gaan, Firefox updaten afgelopen week.
Dan krijg je wel de snap versie. En snap versies hebben standaard last van theming issues.

[Reactie gewijzigd door Zidane007nl op 21 juni 2019 14:19]

Totaal geen last van, maar misschien komt dat omdat ik een Firefox account draai.
Daarnaast heb ik gewoon een update uitgevoerd via "software-center" , niet een installatie. Lijkt me toch niet dat dat een snap-versie naast een gewone deb versie installeert.
Ik heb geen ervaring met het updaten van packages via de software center. Dat doe ik meestal via de terminal. ;)

Maar ik krijg twee resultaten als ik zoek naar Firefox. De versie geïnstalleerd via een debian package en de snap versie (die al wel op 67.0.4 zit).
En starten langzamer op en zijn ook onveiliger. Althans sommigen beweren dat. Heb er zelf geen ervaring mee.
Ik heb hem dan op de Mac maar heb hem gisteren al gehad, gewoon via firefox update.
Neem aan dat die ook wel redelijk direct bij linux in software center/ updates staat ?
Vroeger gingen updates bij Linux op dezelfde manier als bij Windows normaal is: als je iets nodig had dan moest je daar de laatste versie van downloaden en soms hadden programma's een eigen update checker. Dit is al lang niet meer gebruikelijk en wordt normaal gesproken alleen gebruikt wanneer je geen andere opties hebt. Denk bijvoorbeeld aan zeldzame/oude wifi chips die alleen closed source drivers hebben van een leverancier die Linux niet serieus neemt.

Daarnaast werdt/wordt er door sommige distributies nog steeds gedaan aan het verspreiden van alleen de open source code (Gentoo, Slack, Arch). De computer moet dan iedere keer wanneer je bepaalde software wil de software voor je machine compileren. Dit is een redelijk gemakkelijk proces, maar voor de meeste gebruikers niet hun favoriete oplossing.

Er zijn meerdere gangbare manieren om je software updates te doen op Linux. De eerste manier is via een pakket beheerder. Alle software is hier in pakketvorm aanwezig (ja ook de Linux kernel, je grafische interface en alle andere elementaire zaken) om aan of uit te vinken. Deze download automatisch de benodigde pakketten, zoekt en download automatisch andere pakketten als deze nodig zijn voor jouw geselecteerde pakketten en zoekt automatisch naar updates.

Sinds een paar jaar hebben de verschillende distributies een extra grafische schil om dit systeem gedaan om zo een app-store ervaring ervan te maken. En sinds een paar jaar zijn ze ook begonnen met het aanbieden van verschillende soorten (gesandboxte) containers waarin een pakket zit samen met eventuele andere benodigde pakketten (vergelijkbaar met docker) zowel in de stores (en dus ook de pakket beheer software).

Afhankelijk van wat je prettig vindt en wat je nodig hebt download en gebruik je de manier die je wenst. Het updaten is dus niet echt vergelijkbaar met Mac OS. Je moet wachten tot iemand een nieuw pakket geupload heeft of een van de andere manieren proberen.

[Reactie gewijzigd door MaestroMaus op 21 juni 2019 17:29]

Ik update de beta van Firefox altijd zelf. Die updaten elke dinsdag en vrijdag avond. Meestal in ieder geval.

[Reactie gewijzigd door desalniettemin op 21 juni 2019 18:34]

Ik gebruik altijd de beta's en nooit de PPA, maar de tarball. Ook voor Thunderbird. Updates volgen sneller dan de PPA's is mijn ervaring.
Ik was een paar weken terug van plan om over te stappen van Chrome naar Firefox maar dat was net in de week met de certificaat problemen, nu weer 2 zero day exploits. Ik sla Firefox nog maar even over.
Dat certificaatprobleem was misschien wat knullig, maar deze exploits van deze week zijn niets anders dan wat bij andere browsers ook voor komt. Misschien wat vaker de security bulletins van je browser updates lezen om te zien welke exploits er allemaal gedicht worden. :)
Overigens werd met de update van 2 dagen geleden al bekend gemaakt dat er nog een exploit was in de sandbox die nu dus opgelost werd. Opzich beter dat ze alvast één exploit hebben gedicht en een update hebben uitgerold in plaats van nog even te wachten totdat ze deze tweede exploit ook hadden gedicht.
nieuws: Mozilla lost kritieke kwetsbaarheid op in Firefox die actief wordt mi...
Groß zegt tegenover ZDNet dat het lek remote code execution mogelijk maakt, maar er moet los daarvan nog een andere sandbox escape gebruikt worden om code uit te kunnen voeren op het besturingssysteem van het slachtoffer.
Waarschijnlijk was je dan afgelopen maart van chrome naar firefox overgestapt? ;)
nieuws: Google dicht kwetsbaarheid in Chrome-browser die actief misbruikt wordt
Elke browser heeft wel zero day exploits, om nu daar voor niet over te stappen.
Het is juist goed dat Mozilla ze direct zo snel patcht en hier over leest, liever dit dan dat je 1 keer per maand update voorbij ziet komen(Met vele Fixes).

Moet zeggen certificaat probleem weinig last heb gehad.
Hier de CVE's van Chrome, beetje kortzichtig zo.

https://www.cvedetails.co...-15031/Google-Chrome.html
Misschien dan toch maar een andere browser zoeken:

https://www.zdnet.com/art...-user-data-via-pdf-files/
Het was vooral slecht omdat het de tweede keer was.

(Ik blijf gewoon FF gebruiken.. no google.. no ms.)

[Reactie gewijzigd door MrMonkE op 22 juni 2019 10:31]

Op dit item kan niet meer gereageerd worden.


OnePlus 7 Pro (8GB intern) Nintendo Switch Lite LG OLED C9 Google Pixel 3a XL FIFA 19 Samsung Galaxy S10 Sony PlayStation 5 Ryzen

Tweakers vormt samen met Tweakers Elect, Hardware.Info, Autotrack, Nationale Vacaturebank, Intermediair en Independer de Persgroep Online Services B.V.
Alle rechten voorbehouden © 1998 - 2019 Hosting door True