Mozilla brengt noodpatch uit voor Firefox wegens lek dat actief wordt misbruikt

Mozilla heeft een noodpatch uitgebracht voor zijn browser Firefox wegens een lek dat kwaadwillenden actief misbruiken. Het bedrijf raadt gebruikers aan per direct te updaten naar versie 72.0.1.

Mozilla stelt gebruikers via een melding in de browser op de hoogte van de noodzaak om de update per direct door te voeren. Het lek zit in de IonMonkey-compiler, meldt het bedrijf. Dat is een Javascript jit-compiler. De bug zit in incorrecte aliasinformatie die kan leiden tot een 'type confusion'. Daardoor kan een aanvaller de browser laten crashen en die crash misbruiken voor een aanval. Verdere details zijn er nog niet.

De bug lijkt op de bug CVE-2019-11707, die Mozilla repareerde in versie 67.0.3. De patch volgt een dag na de release van Firefox 72 en is nodig, omdat Mozilla heeft gezien dat aanvallers het lek actief misbruiken. Het is onbekend waar en wanneer dat is gebeurd. Behalve Mozilla raadt ook de Amerikaanse Cyber and Infrastructure Security Agency aan om de updates zo snel mogelijk door te voeren, omdat de overheidsorganisatie heeft gezien dat criminelen de bug misbruiken. Updates handmatig doorvoeren kan via het menu Help-Over Firefox of via de downloadpagina. Bij de ESR-versie van Firefox gaat het om 68.4.1.

Reacties (59)

bombadil 8 januari 2020 22:05

Ik blok al jaren allerlei scripts in FF met de NoScript plug in. Juist vanwege al dit soort ellende.
https://noscript.net/

[Reactie gewijzigd door bombadil op 23 juli 2024 17:55]

Stromboli @bombadil • 8 januari 2020 23:56

Dan kun je toch geen enkele site meer gebruiken?

De tijd dat sites nog alleen uit html bestonden ligt volgens mij in een vorig millennium.

Douweegbertje @Stromboli • 9 januari 2020 01:26

JS maakt je leven vaak makkelijker om bepaalde features snel al dan niet out of the box te kunnen implementeren.

Echter met HTML5 en CSS3 zijn er zoveel opties dat ik best wil beweren dat er te veel sites zijn met een overkill aan JS. Puur uit gemakzucht en onwetendheid.

Genoeg sites die 100% zonder JS kunnen draaien. Maar vele stoppen daar geen tijd en energie in. Je zit dan in iets te investeren voor een doelgroep die vrijwel niet bestaat.

JDTeunis @Douweegbertje • 9 januari 2020 14:20

JS maakt je leven vaak makkelijker om bepaalde features snel al dan niet out of the box te kunnen implementeren.

En daar maken veel mensen dan ook gretig gebruik van. Met als gevolg dat inderdaad veel websites niet meer werken zodra je js uitschakelt.

Saven @Douweegbertje • 9 januari 2020 11:36

Een hobby blogpagina kan misschien zonder, verder gebruikt vrijwel elk beetje site enorm veel JS voor onder andere dynamische content en navigatie.

Cerberus_tm

@Stromboli • 9 januari 2020 00:02

Heel veel sites kunnen wel gewoon tekst tonen zonder Javascript. Ik gebruik Umatrix en Ublock Origin, en ik blokkeer Javascript per domein, en per herkomst. Dus op Tweakers sta ik alleen Javascript afkomstig van Tweakers.net toe. Als ik een of andere vage site bezoek, sta ik sowieso geen Javascript toe.

n9iels

@bombadil • 8 januari 2020 22:09

Daarmee ben je waarschijnlijk nog steeds vatbaar hiervoor. Want zodra je JavaScript activeert op een website (wat je waarschijnlijk wel doet omdat veel sites zonder nog geen eens functioneren) ben je potentieel vatbaar. Daarnaast is nog onbekend hoe deze vulnerability exact werkt, dus is ook onbekend welke fixes er zijn naast gewon de update uitvoeren.

Kain_niaK @n9iels • 8 januari 2020 22:23

Zonder javascript werkt alleen google.nl nog en dat is het zon beetje. Ook tweakers werk niet zonder.

ACM Software Architect @Kain_niaK • 9 januari 2020 07:06

Kan je aangeven wat niet werkt zonder javascript?

Want bij ons weten werkt een groot deel van de functionaliteit juist nog wel zonder... Niet alles werkt, want het is gewoon ondoenlijk om alles dubbel te zitten bouwen terwijl het percentage zonder javascript heel klein is, maar de basisfunctionaliteit zou gewoon moeten werken.

Of @Dreamvoid of @Crazy Harry.

[Reactie gewijzigd door ACM op 23 juli 2024 17:55]

Kain_niaK @ACM • 9 januari 2020 08:06

Ja basic functionaliteit is er zeker wel. Maar niet elke pagina valt te bereiken zonder JS.

Voor mij is dat geen probleem hoor. Ik draai lekker JS op Chrome.

[Reactie gewijzigd door Kain_niaK op 23 juli 2024 17:55]

Verwijderd @Kain_niaK • 9 januari 2020 11:29

Wanneer je een probleem hebt en meldt, is het erg praktisch om het "ABC for support tickets" in gedachten te houden: Een goede vraag is Accurate, Brief en Complete. M.a.w: Een goede vraag bevat alle informatie die nodig is een om een probleem te bekijken zonder nodeloos lang te worden of inaccurate informatie te bevatten.

Uit bovenstaande zou ikzelf niet kunnen achterhalen wat het probleem precies is of waar dit optreed. Welke pagina's zijn niet bereikbaar als javascript uitstaat en vanaf waar probeer je deze te benaderen? Met die informatie denk ik dat ACM mogelijk iets zal kunnen. Momenteel geef je eigenlijk alleen maar aan dat iets niet werkt zonder specifiek te zijn waar dit optreed en wat precies niet werkt.

bart.koppers @Verwijderd • 9 januari 2020 16:08

@Verwijderd , bedoelde je jouw opmerking richting @ACM?

Je reactie bevat namelijk een uitleg over wanneer iets een goede vraag is. Inaccuraat?

[Reactie gewijzigd door bart.koppers op 23 juli 2024 17:55]

ACM Software Architect @Kain_niaK • 9 januari 2020 16:13

Natuurlijk kunnen we dat. Maar wij hebben niet als streven om de hele site zonder JS werkend te hebben.
Dus zolang de site in onze ogen 'goed genoeg bruikbaar' is zonder JS, gaan we niet actief op zoek naar dingen die we misschien ook nog wel via de non-JS route zouden kunnen uitwerken.

Als actieve non-JS gebruikers ergens tegenaan lopen, willen we uiteraard nog wel kijken of er een eenvoudige oplossing is om e.e.a. toch mogelijk te maken of dat dat zelfs een gemist cruciaal onderdeel was.

Maar de praktijk is nou eenmaal dat overgrote deel van de bezoeker gewoon Javascript toelaat, net als jijzelf.

Dreamvoid @Kain_niaK • 8 januari 2020 22:59

Voordeel van noscript is dat je doorgaans alleen de javascript van de site zelf hoeft aan te zetten, en de 50 scripts van andere onbekende domeinen gewoon kan blokkeren.

Het is idd jammer dat de tweakers devs geen JS-loze site kunnen/willen bouwen, zo erg vind ik een refresh nou ook weer niet.

Stromboli @Dreamvoid • 9 januari 2020 00:00

Heel vaak worden ook functionele scripts (frameworks en libraries) die nodig zijn om de website te laten werken, included vanaf een CDN.

En andersom zijn er ook veel sites die hun advertentiescripts juist vanaf hun eigen domein serveren.

Bovendien zie ik ook niet echt hoe je hiermee deze bug omzeilt. Als een malafide site zo'n exploit in zijn scripts heeft, en de site werkt niet zonder scripts, dan ben je door alleen JS van de site zelf aan te zetten alsnog in de aap gelogeerd.

Dreamvoid @Stromboli • 9 januari 2020 16:15

Idd, maar laten we wel zijn, de exploits die je in het wild ziet komen vrijwel altijd uit extern ingeladen JS.

foaly @Dreamvoid • 8 januari 2020 23:59

Het is verdraaid lastig om een site als Tweakers te bouwen zonder JavaScript hoor, dat kost zoveel tijd en energie extra, dat kan simpelweg niet uit.

Crazy Harry @foaly • 9 januari 2020 00:56

Het is een site voor techneuten. Tweakers doen dingen 'omdat het kan', eigenlijk zou Tweakers.net alleen al een JS-loze site moeten bouwen om te laten zien dat ze het (nog) kunnen.

Ooit lieten de mensen achter de site ook zien wat ze kunnen, met hardware en software, ik heb toch het idee dat dit nu een stuk minder is. Ik wil niet zonder meting op de overname door VNU wijzen maar wanneer we zouden nagaan wanneer het minder geworden is, zou het mij niet verbazen als we daar op uitkomen.

ACM Software Architect @Crazy Harry • 9 januari 2020 08:23

Zoals elders al gezegd werkt de basisfunctionaliteit nog gewoon zonder javascript. Maar door de verandering in de internetwereld is het ondertussen niet meer een doel op zich om alles zonder javascript te kunnen doen.
Daarvoor moeten we simpelweg te veel dingen dubbel bouwen (en daarna permanent onderhouden), voor een veel te kleine doelgroep.

Ooit lieten de mensen achter de site ook zien wat ze kunnen, met hardware en software, ik heb toch het idee dat dit nu een stuk minder is. Ik wil niet zonder meting op de overname door VNU wijzen maar wanneer we zouden nagaan wanneer het minder geworden is, zou het mij niet verbazen als we daar op uitkomen.

Het zou zomaar kunnen dat het sinds 2006 minder is geworden... maar dan niet doordat VNU ons toen overnam.

Er is gewoon heel veel veranderd sinds die tijd, zowel bij Tweakers als in de 'wereld'.
VNU heeft ons in ieder geval niet verteld dat we dergelijke artikelen niet meer mochten schrijven. Dat zijn we gewoon zelf minder gaan doen; de precieze reden kan ik je niet vertellen, dat al ook niet 1 specifieke reden gehad hebben.
Dat komt onder andere doordat bijvoorbeeld de load van Tweakers ongeveer sinds die tijd was gestopt met spectaculair stijgen. We gingen toen over in een situatie waarbij domweg elke 3 jaar nieuwe servers met "ruim voldoende overcapaciteit" kopen genoeg was om de stijgingen bij te houden.

Melden dat we nieuwe servers plaatsten werd daardoor steeds meer een 'meer van hetzelfde'-verhaal ("ongeveer dezelfde specs, maar dan nieuwer"), alleen de databases zijn nog enigszins spannend en die hebben we dan ook meestal wel gemeld. Bovendien zijn er allerlei artikelen geweest waar we weer eens een samenvatting van het geheel maakten.

Overigens melden we wel al sinds die tijd vrijwel elke sprint wat we zojuist gereleased hebben.

MainframeX @Crazy Harry • 9 januari 2020 10:54

Je opmerking doet overkomen alsof de bouwers van tweakers.net uit luiheid of onkunde javascript gebruiken in plaats van html. Dat is vooral bedoeld om een rijkere site ervaring te geven. Met alleen html en php zou het dus betekenen dat een klik op een stemknop al zou zorgen voor een page refresh; volkomen onwenselijk en niet meer van deze tijd. Bovendien moet er meer geprogrammeerd worden om iets in JS te doen dan louter html.

Sorry, maar je mening is echt gebaseerd op onjuiste aannames.

Dreamvoid @MainframeX • 9 januari 2020 16:14

Hoezo niet meer van deze tijd, niemand is ooit slechter geworden van een page refresh.

Centurius @Crazy Harry • 9 januari 2020 01:20

Tja tweakers kunnen dingen doen omdat het kan, Tweakers.net is gewoon een bedrijf dat winstgevend moet zijn en dus oppassen voor onnodige uitgaven.

CH4OS @Dreamvoid • 10 januari 2020 01:06

Een website kan niet zonder JavaScript aan nu, want dan zou heel veel functionaliteit opeens niet meer werken. Zet JavaScript eens uit en probeer dan het menu wat achter jouw nickname zit eens te openen. Als het zonder JavaScript kon, werd dat echt wel gedaan, want dat levert de minste problemen op. Verdiep je daarom eens in de technieken die nodig zijn om een goede, moderne site te bouwen.

[Reactie gewijzigd door CH4OS op 23 juli 2024 17:55]

Jim80 @bombadil • 9 januari 2020 10:02

Javascript mag in theorie geen greep hebben uit alles buiten z'n sandbox, dit is gewoon een ongelukkige bug, en kan overal voorkomen. Als je JS uitzet, moet je consequent zijn en ook meteen afbeeldingen uitzetten, want daar zat jaren geleden ook een exploit in (iemand had toen een proof-of-concept gemaakt dat een simpele JPEG op een webpagina, windows calculator opstartte via deze exploit).

Wellicht moet je nog meer dingen uitzetten, want misschien zit er ook wel een buffer overrun bij het parsen van html/css ofzo, you never know....

Of misschien zijn er wel bugs in je OS (denk aan EternalBlue), of in de firmware van je MOBO/CPU (denk aan intel Remote Management)

Als je echt veilig wil zijn, kan je alleen nog een offline PC gebruiken met een niet-draadloos toetsenbord, want dat kan ook afgeluisterd worden. En dan nog....

Ik wil maar zeggen, als je het ene blockt, kan men nog altijd via een andere manier iets mispeuteren.

kaasboer09 8 januari 2020 23:45

Daardoor kan een aanvaller de browser laten crashen en die crash misbruiken voor een aanval.

Wat ik mij afvraag is wat hier de definitie is van een aanval. Waar heeft een aanvaller toegang tot?

bzzzt @kaasboer09 • 9 januari 2020 10:18

Lokaal native code uitvoeren op je user account, dus bv. iets automatisch laten opstarten iedere keer dat je inlogt, advertenties injecteren, ransomware, internetbankfraude, bitcoinwallets kapen, je webcam stream doorsturen enzovoorts.

kaasboer09 @bzzzt • 9 januari 2020 10:37

Dus dmv deze bug is er een ontsnapping uit de sandbox? Dat lijkt mij dan een mega groot probleem...

bzzzt @kaasboer09 • 9 januari 2020 13:24

En daarom is er een noodpatch uitgegeven.

ErikRo 8 januari 2020 22:00

Ik had al sinds een tijd last van onverklaarbare crashes een dikke maand terug ofzo. Benieuwd of het hiermee te maken had. Heb toen windows opnieuw geinstalleerd en dat heeft geholpen.
Week terug wel weer.crash gehad terwijl dat de laatste 10 jaar nooit voorkwam vond het al apart. Dit zou een en ander verklaren. Meer info zou welkom zijn

ToolBee @ErikRo • 8 januari 2020 22:18

Dit gaat over FF 72.0 van vorige week. Daar was dus iets niet gepatched. Nu wel.

Je probleem is van een andere oorzaak vrees ik.

R4gnax

Mozilla Firefox
Mozilla
Mozilla Firefox
Browsers

@ToolBee • 8 januari 2020 22:24

Dit gaat over FF 72.0 van vorige week. Daar was dus iets niet gepatched. Nu wel.
Je probleem is van een andere oorzaak vrees ik.

Ook de extended-support versie 68 was vatbaar en is gepatched. Dus versies voor versie 72.0 zullen ook vatbaar geweest zijn.

Coolstart @R4gnax • 8 januari 2020 23:21

Ik zie de zelfde critical bug in de JIT compiler ook terugkomen in de Firefox 66 update.

The IonMonkey just-in-time (JIT) compiler exploit:

“ This allows for possible arbitrary reading and writing of objects during an exploitable crash.”

En

“This magic value can then be used by JavaScript to achieve memory corruption, which results in a potentially exploitable crash.”

Ofwel is dit dagelijkse kost ofwel puur toeval dat er vrij recentelijk heel gelijkaardige bug reports + patches zijn uitgebracht.

Steeds (auto)updaten dus!

spNk @ErikRo • 8 januari 2020 22:19

Jij doet een herinstallatie omdat een (3rd party) browser een keer vastloopt?

ErikRo @spNk • 8 januari 2020 23:20

Wilde altijd al eens een keer een schone Windows die was na 7 jaar zo vol gelopen maar zag er altijd tegenop. plus het browsen ging eigenlijk niet meer was elke dag meerdere keren raak en kon verder niets vinden. Dus het was op pc stuk of hopelijk OS stuk was laatste kans oplossing voor mij. En het hielp, installatie was door de refresh mogelijkheid eigenlijk ook zo gebeurd en 100gb extra ruimte op m’n C schijf daarna

JoepD @ErikRo • 8 januari 2020 22:31

Heb je deze crashes toevallig op websites als Netflix? Dit is een bekend probleem in combinatie met een AMD videokaart. Vermoedelijk gerelateerd aan een HDCP check. Dit is trouwens tijdelijk op te lossen door hardwareacceleratie uit te zetten.

[Reactie gewijzigd door JoepD op 23 juli 2024 17:55]

ErikRo @JoepD • 8 januari 2020 23:12

Nee het waren verschillende sites waarvan het tabblad snel crashte. En FF moest herstarten. Was geen netflix en heb trouwens een gtx1070.

Cerberus_tm

@JoepD • 9 januari 2020 00:03

Hmm ik heb een kaart van AMD maar heb nergens last van op Netflix.

Slijpschuiver @ErikRo • 8 januari 2020 22:24

Wauw. Exact hetzelfde hier. Voor het eerst sinds jaren en jaren blue screens, ook sinds ruim een maand. Ik zocht het eerst in falende hardware, tot ik vanmiddag, na wat testen afgelopen tijd, begon te vermoeden tot de problemen wel eens in Firefox zouden kunnen zitten.

.oisyn Moderator Devschuur® @Slijpschuiver • 8 januari 2020 22:43

Als je last hebt van blue screens dan ligt het vrijwel zeker niet aan een userside applicatie zoals firefox, maar gaat het om crashes op kernelniveau (zoals slechte drivers of falende hardware).

Het kan uiteraard wel getriggerd worden door een specifieke applicatie.

[Reactie gewijzigd door .oisyn op 23 juli 2024 17:55]

MaDMaRTiGaN648 @.oisyn • 8 januari 2020 23:45

Er zijn blue screens bekend die getirggerd worden vanuit browsers, waaronder Firefox, Chrome en Vivaldi (duck it). Meestal in combinatie met "hardware acceleration" die dan een bug in DirectX of de video driver triggert

Dus mocht je het vermoeden hebben dat je browser je Windows systeem laat crashen, schakel "hardware acceleration" dan eens uit en kijk of het probleem niet meer optreedt.

kevz 8 januari 2020 22:00

'Couldnt load XPCOM' error direct na het installeren. Geen idee wat het betekend, maar de update is geinstalleerd.

SED @kevz • 8 januari 2020 23:43

Zoiets?
https://www.repairwin.com...error-couldnt-load-xpcom/

AmigaWolf 8 januari 2020 21:51

Apart heb net de update gekregen voor Firefox op Android.

Dat is wel versie 68.4.1.

[Reactie gewijzigd door AmigaWolf op 23 juli 2024 17:55]

ErikRo @AmigaWolf • 8 januari 2020 22:02

Note: this issue only occurs on Windows. Other operating systems are unaffected.

Californication @ErikRo • 8 januari 2020 22:16

Ik zie inderdaad nog geen update voor onder Ubuntu. Dus wie weet. Die wel ok.

sfranken @Californication • 8 januari 2020 23:46

Dat duurt meestal even, de versie daar moet eerst gebuild worden en dan naar de mirrors worden geseed. Je krijgt bij ubuntu (en elke Linux distro, eigenlijk) nooit spul van de fabrikant zelf.

Blokker_1999

Hack
Browsers

@sfranken • 9 januari 2020 06:47

Tuurlijk wel, je kan Firefox gewoon rechtstreeks vanaf de Mozilla site downloaden en installeren en de updater van Firefox gebruiken om hem bij te werken.

sfranken @Blokker_1999 • 9 januari 2020 18:46

En daarmee doe je meteen een van de voordelen van moderne Linux distro's om zeep helpen: centraal applicaties en software updaten op één plek in je OS. Bovendien is dat, zeker op Ubuntu, niet aan te raden. Canonical voert een aantal patches door zover ik weet, die je dan niet meekrijgt.

n9iels

@ErikRo • 8 januari 2020 22:10

Waar heb je deze note gevonden? Zie hem op de website van Mozilla zelf niet staan namelijk.

ErikRo @n9iels • 8 januari 2020 23:10

Ik klikte een de links van hierboven en volgde deze. Maar het lukt me niet meer deze te vinden.

N8w8 @ErikRo • 9 januari 2020 08:10

iig hier staat dat Debian er ook last van heeft. edit: inmiddels gefixt.
@Californication, dan zal Ubuntu er ook mee te maken hebben lijkt mij.

[Reactie gewijzigd door N8w8 op 23 juli 2024 17:55]

Californication @N8w8 • 10 januari 2020 08:43

nog bedankt

[Yellow] @ErikRo • 9 januari 2020 11:11

Vreemd want in macOS heb ik 72.0.1 gekregen met exact deze fix. Niet alleen Windows dus?

ErikRo @[Yellow] • 9 januari 2020 12:33

Lijkt er idd op dat ik me vergist heb kan in ieder geval de bron niet meer terugvinden wellicht weggehaald of I, niet goed gekeken

GekkePrutser 9 januari 2020 02:15

Iek... Ik heb toevallig net vandaag een paar keer crashende tabs gezien. Op reddit als ik het me goed herinner. Ik neem aan dat die niet actief exploiteert en ik block ads dus er komt van derden niks binnen als het goed is. Maar dit is de eerste keer in vele maanden dat ik die "Sorry this tab has crashed" pagina heb gezien. Ik zal maar gelijk deze update installeren!

Blokker_1999

Hack
Browsers

@Nostalgmus • 9 januari 2020 06:46

Waar mensen werken, worden fouten gemaakt. En er is geen enkel programma dat vrij van fouten is. Soms heel eenvoudige, onschuldige dingen. Soms heel complexe met grote gevolgen. Zelfs in kritieke software zitten naar schatting nog gemiddeld 5 fouten per 1000 lijnen code.

Als jij een manier kan vinden om code te schrijven zonder fouten, of om al die fouten snel en foutloos op te sporen dan kan je schatrijk worden.

Ik ben zelf van mening dat het ondertussen een stuk beter gaat dan pak em beet 15 a 20 jaar terug. Windows XP is uiteindelijk een echte gatenkaas gebleken, Windows 10 is al een heel stuk veiliger en we zien de meeste problemen vandaag dan ook gewoon met externe software.

Op dit item kan niet meer gereageerd worden.

Mozilla brengt noodpatch uit voor Firefox wegens lek dat actief wordt misbruikt

Lees meer

Reacties (59)

Sorteer op:

Weergave: