Mozilla keert eerste beloning uit voor vinden veiligheidsbug

De Mozilla Foundation heeft bekend gemaakt dat de eerste uitbetalingen hebben plaatsgevonden in het kader van het Mozilla Security Bug Bounty Program. Vorige maand maakte de organisatie bekend dat het 500 dollar zou betalen voor degene die als eerste een veiligheidsbug melde aan de ontwikkelaars. De bekendmaking van de eerste betalingen in het kader van dit programma vond tegelijk plaats met de release van de nieuwe versie 0.8 van de e-mailcient Thunderbird en de Preview release van Firefox 1.0.

Het Security Bug Bounty Program heeft als doel de veiligheid van de producten die door de Mozilla Foundation worden beheerd te verbeteren. Daarnaast wil de Foundation met het project de reactiesnelheid na de ontdekking van veiligheidsfouten verbeteren. De eerste beloningen in het kader van het programma zijn aan vier mensen uitgegeven. De betreffende personen zijn geen ontwikkelaars van Mozilla, zoals ook in de voorwaarden van het programma is vastgelegd. Eén van de ontdekkers van een kritieke bug heeft zijn beloning van 500 dollar weer teruggegeven aan de Mozilla Foundation om de ontwikkeling van de softwareproducten te ondersteunen. Inmiddels is er 10.000 dollar beschikbaar voor het Security Bug Bounty Program. Dit bedrag is gedoneerd door vrijwilligers maar ook door bedrijven, waaronder Linspire.

De ontdekte veiligheidsfouten zijn aanwezig in alle Mozilla versies, behalve versie 1.7.3. Ook Firefox en Thunderbird zijn getroffen door de veiligheidsbugs. Om veilig te kunnen e-mailen en surfen is het daarom vereist om Firefox 1.0PR en Thunderbird 0.8 te gebruiken.

Reacties (47)

Mister I 17 september 2004 15:30

Je kan trouwens tegenwoordig met sp2 in xp internet explorer blokkeren en dus alleen nog firefox gebruiken.
heel handige optie vind ik zelf

Je vind het bij programma toegang en instellingen.

Edit:

Was niet als offtopic bedoelt, maar voor de mensen die naar Firefox willen, maar steeds internet opstarten.
Maar nu ik het zo lees, komt het idd wel offtopic over

dlmh @Mister I • 17 september 2004 15:34

Heb je IE niet nog nodig voor Windows Update?

Verwijderd @dlmh • 17 september 2004 15:48

gebruik je toch de automatic updates?
en anders zet je het heel ff aan om je windows up te daten en daarna weer uit

Verwijderd @Verwijderd • 17 september 2004 18:52

automatic updates ? prima recept voor het binnenhalen van ellende ...

Verwijderd @Mister I • 17 september 2004 15:43

Je kunt IE dan wel blokkeren als browser, maar IE wordt dus niet verwijderd dan.
Reden hiervoor is bv de windows update, maar ook bepaalde office onderdelen die gebruik maken van sommige IE onderdelen. (als antwoord op 'half leven' en 'serialthrillaz')

siren @Mister I • 17 september 2004 15:46

Volgens mij bedoel je internet explorer. Als je internet blokkeert heb je geen browser nodig.

Rixard @Mister I • 17 september 2004 18:22

[offropic] Je kon vanaf Windows XP SP1 al de toegang tot IE (en messenger, outlook express en meer..) blokkeren. [/offtopic]

bamboe @Mister I • 18 september 2004 12:53

ja, op dit moment is msn messenger nog een bug, als je in een chat scherm op een www link klint opend firefox nomaal zoals gewenst, maar als je je email wil ophalen van uit msn dan opend hij standaard explorer met alle popups en troep bijbegrepen.

alt-92 @bamboe • 18 september 2004 14:14

Das geen bug.
This behavior is by design (r) .

Verwijderd @Mister I • 17 september 2004 15:34

Erg handig hoor, blokkeer je ook meteen al die programma's die IE gebruiken!

Verwijderd @Verwijderd • 17 september 2004 15:51

Ben je ook meteen van al die flut-programma's af.

Verwijderd 17 september 2004 23:44

Dit bedrag is gedoneerd door vrijwilligers maar ook door bedrijven, waaronder Linspire.

Steal from the rich, give to the poor?
www.tweakers.net/nieuws/33403/?highlight=lindows
Zo zie je dat Microsoft indirect toch een beetje bijdraagt aan de Mozilla Foundation.

T-MOB 17 september 2004 15:47

Is er ook al bekend wat de fouten dan eigenlijk waren??

Bergen @T-MOB • 17 september 2004 17:18

Uiteraard, zoals bij veel open-source projecten kun je de hele buggeschiedenis nalezen op http://bugzilla.mozilla.org/

GlowMouse 17 september 2004 15:47

Ik kan mij niet voorstellen dat deze bugs allemaal de week vóór de release van Firefox 1.0PR gemeld zijn. Ongetwijfeld waren de bugs al enkele weken bekend, maar is besloten met patchen te wachten tot de eerstvolgende release. Dit strookt niet met de open-source gedachte, waarbij bugs bij wijze van spreken 'dezelfde nacht nog', of in ieder geval binnen een week een update komt.
Jammer van Firefox, want dit is hét grote voordeel van open-source.

mephisto1982: waarom zouden er geen patches uitgebracht kunnen worden?

kodak @GlowMouse • 17 september 2004 16:27

Je maakt onterecht een verband tussen het nieuwsbericht en het wachten met patchen. Het nieuwsbericht is gewoon om te laten weten dat de beloningen dus nu helpen om Mozilla nog beter te maken. Niet dat er bugs in mozilla zitten die nu gefixed zijn.

De bug meldingen waren al eerder gedaan, fixes waren binnen een paar dagen compleet en verkrijgbaar via de developer edities. Dit is zeer goed te volgen via bugzilla en de vulnerability lijst. Men vond het echter niet noodzakelijk om toen ook meteen kenbaar te maken dat dit dankzij het beloning systeem kwam. Uiteraard wordt er niet meteen een nieuwe complete release van Mozilla uitgegeven vanwege een bug. Er zijn wel meer bugs die gefixed moeten worden en alles moet ook nog getest worden. Een van de bugfixes was ook net te laat om met 1.7.2 meegeleverd te worden.

Verwijderd @kodak • 17 september 2004 17:49

Men heeft duidelijk gewacht met het nieuwsbericht over de patches, totdat er officiele consumer releases waren, waarin de patches verwerkt waren.

Goh...je zou bijna denken dat ze net zo werken als ieder ander bedrijf ....

Verwijderd @GlowMouse • 17 september 2004 16:20

GlowMouse:

Er bestaan patchen ( ongeveer ) ervoor ... ze noemen nightly builds ... Ipv te wachten op de volgende versie, kan je een nightly build downloaden ( met natuurlijk het risico dat deze meer bugs kunnen hebben ). De critieke bug's zijn er meestal dezelfde nacht al uit ( als men het snel kan oplossen ) maar men kan niet voor iedere bug, een build gaan releasen naar het publiek. Als je echt up to date wilt zijn iedere dag, kan je de nightly builds downloaden ( maar je neemt risico's ).

Verwijderd @GlowMouse • 17 september 2004 15:50

mozilla kan moeilijk voor iedere firefox bug een nieuwe versie uitbrengen, en als je echt iedere dag een nieuwe versie wilt download je toch de nightly builds?

Verwijderd @Verwijderd • 17 september 2004 16:20

Nee maar ze kunnen wel losse patches uitbrengen die alleen de beveiliginsbugs fixen i.p.v. een nieuwe versie uit te brengen.

Op deze manier is het ook makkelijk ziets als Mozilla update in de browser te bouwen.

Jazco2nd 17 september 2004 17:11

Heel irri, MSN messenger start nog steeds IE op als ik naar mn Inbox wil

kodak @Jazco2nd • 17 september 2004 17:24

Dat heeft niets met Mozilla te maken, maar de wijze waarop MSN Messenger geprogrammeerd is. Die kijkt niet naar welke browser je op je systeem als standaard hebt gezet maar gebruikt zelfs standaard IE.

bartware @Jazco2nd • 17 september 2004 18:23

Ook voor MSN messenger zijn, al dan niet open-source, alternatieven.
Ikzelf gebruik bijvoorbeeld Miranda-IM voornamelijk als ICQ client, maar heb ook een paar MSN gebruikers op mijn contact-list staan.

* 786562 bartware

0vestel0 17 september 2004 15:30

Als Microsoft hetzelfde zou doen, zou je rijk kunnen worden ;-)

Verwijderd @0vestel0 • 17 september 2004 21:00

Wellicht plannen ze hetzelfde.. vandaar dat reservefonds van 50 miljard

Verwijderd @Verwijderd • 18 september 2004 13:18

mm, vraag me af of ze daar geneog aan hebben die 50 miljard, LOL.

Verwijderd @Verwijderd • 19 september 2004 00:59

die grap komt me bekend voor.

http://ars.userfriendly.org/cartoons/?id=20040811

Verwijderd @Verwijderd • 17 september 2004 21:52

Dat wordt dus wachten tot ergens in 2090, als ze in dit tempo blijven doorsparen en alleen ingaan op bugs in minesweeper. Als ze ook bugs in Windows, IE, Outlook en WinSock gaan belonen dan komt het er nooit van.

Cyberamp 17 september 2004 15:26

DE kans van Microsoft om Mozilla terug te pakken!

Mayco @Cyberamp • 17 september 2004 15:30

euhm, hoezo? door naar bugs te gaan zoeken en 500 dollar te claimen?

flashin @Cyberamp • 17 september 2004 16:32

Nee, iedereen loopt altijd te zeuren over bugs in IE (ik ook hoor) en nu kan MS ze terugpakken omdat ze 1 bug gevonden hebben

Wel vage moderaties hier, respecteer gewoon iemands mening, als er het woord IE of MS in staat krijg je automatisch een moderatie van 0 of lager

?

edit: juist zulke moderaties, n00bs

pami @flashin • 18 september 2004 12:06

en nu kan MS ze terugpakken omdat ze 1 bug gevonden hebben

Nou, doe daar maar een nulletje achter:

http://secunia.com/advisories/12526/

ShadyNetworker 17 september 2004 15:23

Wauw...wat moet je hier nou van vinden. Ik vind 500 dollar een leuk bedragje, FireFox een leuk progje en de "winnaars" geven het bedrag zelfs terug?

Het kan aan mij liggen maar door dit soort berichtjes geeft FireFox me toch steeds een beter gevoel

De preview van 1.0 werkt ook gesmeerd.

Good times!

Verwijderd @ShadyNetworker • 17 september 2004 15:27

Jammer alleen dat na het updaten van 0.9.3 naar 1.0PR verschillende extensions niet meer werken.

Zouden ze niet iets kunnen maken waarbij die extensions wat minder afhankelijk zijn van de browser/mail client versies?

drm @Verwijderd • 17 september 2004 17:01

Het is wel frappant om te zien dat veel mensen vergeten dat de versies van Thunderbird en Firefox die momenteel beschikbaar zijn nog steeds in testfase zijn (hoezo versie 0.x?). Logischerwijs behouden de ontwikkelaars daarmee compatibiliteitsissues voor, simpelweg omdat ze (nog) vrij willen zijn om rigoreuze wijzigingen aan te brengen (hoewel dat zo langzamerhand bij Firefox wel discutabel begint te worden met een Preview Release).

Ik vind persoonlijk dan ook dat dit soort dingen echt minor issues zijn in een versie waar nog steeds geen 1.x final achter staat

Dit terzijde; Mozilla toont hier wederom mee aan dat ze echt van goede wil zijn als het gaat om een algehele verbetering van de software op het gebied van veiligheid. Ze hebben een goede visie en om die visie te ondersteunen vind ik dit soort acties echt een pluim waard

it0 @Verwijderd • 17 september 2004 15:30

Sorry voor dit vaag antwoord, maar ik las ergens op slahsdot dat er een speciale setting is die je moet disablen voor een bepaalde dependency.. Want die zou zorgen voor meer stringente checks..

Unverter @it0 • 17 september 2004 15:36

Typ about:config en verander extensions.lastAppVersion naar 0.9 als je al je extensie werkend wil hebben (niet gegarandeerd omdat de Firefox code veranderd kan zijn).

Ook via www.extensionsmirror.nl kun je aangepaste versies krijgen, om je extensies toch werkend te krijgen.

DRaakje @Verwijderd • 17 september 2004 16:03

Ik had dat probleem ook. Gewoon uninstallen (de plugin) en opnieuw downloaden dan doen ze het wel!

masteriiz @ShadyNetworker • 17 september 2004 15:27

Maar weer ff upgraden... Ik betrap mezelf er toch steeds weer op in mijn oude *fout* te vervallen MIE te gebruiken... Het lijkt wel of dat programma er steeds weer ongevraagd in slaagd zelf de standaard browser te worden... Ik denk dat IE hiervan wat zou kunnen leren.

Verwijderd 17 september 2004 15:42

MS zou dit ook moeten doen

ow stomme ik....
Ze hebben maar een paar biljoen dollar

Xiqum @Verwijderd • 17 september 2004 15:51

Dan zijn ze gelijk door die pot heen

Een blij windows user...

Verwijderd 17 september 2004 17:09

Eén van de ontdekkers van een kritieke bug heeft zijn beloning van 500 dollar weer teruggegeven aan de Mozilla Foundation om de ontwikkeling van de softwareproducten te ondersteunen.

Dit vind ik nou een erg stoere actie, eerst de ontwikkelaars wijzen op een bug die nog niet ontdekt was, en daarna de beloning weer terug geven voor de ontwikkeling van software producten.

Op dit item kan niet meer gereageerd worden.

Mozilla keert eerste beloning uit voor vinden veiligheidsbug

Lees meer

Reacties (47)

Sorteer op:

Weergave: