Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 47 reacties
Bron: C|Net

Mozilla heeft afgelopen donderdag een update uitgebracht voor Firefox. Versie 1.5.0.4 van de browser verhelpt een aantal veiligheidsproblemen die aanwezig zijn in Firefox, waarvan vijf bugs worden aangeduid als 'critical'. De ernstigste problemen stellen kwaadwillende personen in de gelegenheid een systeem waarop een oudere versie van Firefox worden gebruikt over te nemen. Het onderzoeksbedrijf Secunia geeft de veiligheidsfouten een hogere risico-aanduiding. Volgens de advisitory van dit bedrijf zijn de fouten in Firefox 'highly critical'. Ook de e-mailapplicatie Thunderbird is voorzien van een update, aangezien ook hierin een veiligheidsfout is ontdekt.

De ernstige fout in de browser maakt het mogelijk om geheugenfouten te veroorzaken die kunnen worden misbruikt voor het uitvoeren van kwaadaardige programmacode. Daarnaast is er een fout ontdekt in de 'sandbox bescherming' van de JavaScript-engine, waardoor het mogelijk is te ontsnappen uit de sandbox en dus willekeurige JavaScript-code uit te voeren met onbeperkte rechten. Ook is er een fout ontdekt in het verwerken van HTTP-antwoorden waardoor het mogelijk is willekeurige programmacode uit te voeren. Een fout in de 'View Image' en 'Show only this frame'-functies van Firefox maakt het eveneens mogelijk voor hackers om willekeurige programmacode uit te voeren. De ontdekte fouten zijn waarschijnlijk ook aanwezig in de 1.0.x-versie van Firefox. Voor deze oude versie van de browser is er nu ook nog een veiligheidsupdate verschenen, maar dit zal de laatste zijn. De Mozilla Foundation adviseert dan ook om over te stappen op de nieuwste versie van de browser.

Mozilla Firefox 1.5.x na update screenshot (resized)
Moderatie-faq Wijzig weergave

Reacties (47)

Ik heb op alle pc's waarop ik werk , al de update binnen . De automatische update functie doet het echt goed :) .

Jammer , maar begrijpelijk , dat er ook zoveel veiligheidsfouten zitten in FF. Goed dat deze snel gepatched worden.
Op zich heb je gelijk maar ik speel even advocaat van de duivel hier.

Waarom is het begrijpelijk dat FF dergelijke veiligheidsfouten bevat? Was het argument niet jarenlang dat toegang tot de source tot minder bugs leidde, vanuit die optiek vraag ik dan waarom er dan nog constant nieuwe bugs gevonden worden in FF.

Volgens de 'million eyes' theorie zou FF perfect moeten zijn nu.
Nouja zou het niet moeten zijn. Maar ik denk dat deze problemen ontdekt zijn juist _doordat_ de code opensource is. Dit soort exploits (met name de greasemonkey exploit) ondek je echt niet zo maar zonder toegang tot de broncode.

Ik geloof dan ook niet dat OS per definitei veiliger is. Het is relatief veiligere code, _maar_ de broncode is beschikbaar, de motorkap is open: de hacker kan gewoon gaan vissen naar gaten. De code van MS zal waarschijnlijk meer gaten bevatten, maar zonder inzicht in de code, weet je niet waar je moet gaan zoeken.

Het is dus een motivatie kwestie, de mensen die gaten in IE vinden hebben meer moeite gedaan en zullen deze informatie minder gauw naar buiten brengen. (Waarom zou je weken gaan zoeken naar een exploit als je er geen misbruik van wilt maken?)

Daarnaast is er al een tijdje een aantal overheids instanties (inclusief de amerikaanse defensie) bezig allerlei open source software op veiligheid te onderzoeken (simepelweg omdat het bij deze software door een externe partij kan). Dit heeft een groot aantal bugfixes en security holes opgelost. Hoe cynisch het ook is, uiteindeiljk zal het paranoia zijn wat opensource commonplace zal maken. Gebrek aan vertrouwen. Men wil geen chinese PC, en men wil geen software waarvan ze niet kunnen controleren wat het doet (lees: de broncode hebben).
Ik moet je gelijk geven dat Firefox standaard niet sneller ism aar als je firefox ff tweaked met about:config, dan kan je je browser toch echt wel velen malen sneller laten browsen dan IE.
Maar dit is natuurlijk niet voor alle computers n00bs weg gelegd!!
gewoon fasterfox installeren ;)
Auto-update heeft nog wat kuren bij mij. Als ik bij de update history kijk, staat er :

1.5.0.4 installed
Status : (AUS) connection timed out

Bij help->about staat 1.5.0.3

Het lijkt erop dat als een update wordt gezien, maar de daadwerkelijke update fout gaat, deze niet nog eens wordt geprobeerd omdat FF denkt dat de update al is geinstalleerd.

Maar goed, 1.5.0.4 gedownload en eroverheen geinstalleerd en alles is weer ok.
Waar zit die 'Update history' eigenlijk? Ik ben wel benieuwd (overigens ging auto update hier wel goed - WinXP SP2
, vanaf 1.5.0.3).
Tools > options > advanced > update > en dan onderaan "Show update history" ;)
Hier precies hetzelfde, maar dan met een (AUS) Connection refused.
Bij mij verschilt het juist heel erg. Soms wel direct een auto-update, de andere keer gebeurt er niks (en dus maar handmatig check...)
Ik had ook problemen met de automatische update. Op de ene computer ging het helemaal vanzelf, op de andere (mijn primaire nog wel), kreeg ik ook een time out.
Door vervolgens op help-->Controleren op updates... te klikken vond hij opnieuw 1.5.0.4, en downloade hij de partial update. Voordeel hier van is dat deze een stuk kleiner is dan de hele download. En dat hij het automatisch en sneller installeert.
Goh, nog helemaal geen reacties dat FF zo buggy is. IE had al 100 van zulke replies gehad. Begrijp me goed, ik gebruik zelf ook FF, maar ik vind dat die bijna net zo vaak patches uit moeten brengen als microsoft voor IE, dus een fundamenteel verschil in veiligheid lijkt er niet te zijn (afgezien van de afwezigheid van ActiveX support, wat een verstandige beslissing was ivm beveiligingsrisico's).
Vergis je niet in de veel grotere veiligheid die Firefox biedt ten opzichte van IE. Uiteraard kennen alle browsers hun bugs en kritieke bugs, maar hou er ook rekening mee dat de Mozilla Foundation veel sneller patches uitbrengt dan Microsoft. Op Secunia staat Firefox ook niet voor niets als less critical aangemerkt t.o.v. de Highly Critical van Internet Explorer.

Daarnaast kent Firefox natuurlijk ook een veel uitgebreidere functionaliteit, zoals friek terecht opmerkt.Tabbladen, plugins, themes, etc.
Patman2 schreef:
Vergis je niet in de veel grotere veiligheid die Firefox biedt ten opzichte van IE.
Gaarne feiten. Want wat is de criteria voor deze bewering. Persoonlijk heb ik geen voorkeur voor IE, FF of Opera, maar van de extra veiligheid van Firefox heb ik niks gemerkt, althans niet bij n00b gebruikers. Het aantal spyware, popups en virussen blijft maar binnenstromen onder firefox. FF geeft een vals gevoel van veiligheid omdat de "kenners" roepen dat het veiliger is om met FF te internetten. Maar veilig internetten heeft niks met FF of IE of anders te maken, maar met de internet mentaliteit. Zolang n00bs toch maar op OK en Ja klikken zonder berichten te lezen blijft het fout gaan, zonder goede anti-spyware en virus scanner blijft het fout gaan. Zolang mensen nog als "root" op hun pc blijven werken blijft het fout gaan.

Een PC is zo veilig als de gebruiker er mee omgaat, of het nu FF, IE, Opera of wat dan ook is.
Heb hier bij familie meerdere malen de pc kunnen opkuisen voor al die spyware weg te krijgen, uiteindelijk toch kunnen overhalen om firefox te draaien omdat er nogal veel "vieze" sites bezocht werden.

AdBlock installeren, AdBlock auto-updater, hosts file aanpassen, en moet zeggen heb nog geen enkele keer de pc kunnen opkuisen in de laatste 6 maanden ofzo.
En ja.. Opera ownt al. http://secunia.com/product/4932/ Geen open beveiligings lekken dus 100% veilig te gebruiken..

Deze site zegt dus erg weinig over de algemene veiligheid van een browser, alleen over of er wel een patch is die het probleem verhelpt.
Logica 101:

IE = meest gebruikte browser, daar heeft men al jaren de critise bugs moeten uithalen.

FF = de opkomende massa populaire browser, geen wonder dat deze nu onder het vergrootglas staat. Maar, dankzij de auto update die vrij snel in FF zat, worden de bugs snel gefixed. De kritiek die IE krijgt is een gevolg van de jaren de browser te verwaarlozen, en hun eigen zin te doen sinds er toen geen concurrentie was.

Opera: een zo goed als onbekende browser bij het publiek, met als gevolg dat men weinig bughunting erop doet. Hoeveel % was Opera weeral? 1%? Geef Opera het markaandeel van FF, en je zal daar ook de bugs zien oppoppen als vlooien op een straathond.
Dat kan je zelf instellen.
De standaard keuze om automatisch te laten patchen is wel handig voor de onwetende gebruiker.

Bij: extra>opties...>tabblad Geavanceerd>tabblad Update kan je alles instellen.
Omdat er geen open bugs staan betekent niet dat het 100% veilig te gebruiken is, da's de kromste ICT-logica die ik in tijden heb gehoord!
Zolang code geprogrammeerd wordt door mensen zullen er fouten in zitten aangezien mensen ook geen perfecte logica kennen.

* daenney_s stuurt sanderev66 terug naar de basisschool
Wordt software dan alleen maar afgerekend op 'bugs' of is er ook nog zoiets als 'fuctionaliteit'.. Microsoft heeft hardhandig moeten leren wat er gebeurd als 95% dezelfde browser gebruikt, en ik heb geen illusies dat ff bugvrij is (hoewel het idd een behoorlijk heftig rijtje fixes is dit keer), maar dat wil niet zeggen dat IE een slechte browser is.. Ff vind ik gewoon een fijne browser met veel mogelijkheden en met name ideaal als je zelf aan webontwikkeling doet..
Bedenk je wel dat:
- een MSIE rechtstreeks ge´ntegreerd is met de Windows shell, dus exploit je MSIE, dan exploit je de volledige desktop shell.
- MSIE kan standaard ActiveX toe laten.

ActiveX was bedoelt als communicatielaag tussen locale applicaties. Microsoft heeft vervolgens ActiveX bijna 1-op-1 te 'gepoort' heeft naar het web, om meer te kunnen bieden dan de concurrentie. Met deze ingang zijn er teveel wegen opengezet vanaf MSIE andere applicaties te misbruiken. Het I-love-you virus is hier een voorbeeld van, de sourcecode bevat bijna alleen maar aanroepen naar ActiveX objecten.

MSIE exploiten geeft je veel mogelijkheden. FF heeft hier het voordeel het letterlijk een losstaande applicatie is.
Heeft iemand ook last van dat wanneer je 20 websites met javascript zoals: www.nederland.fm, tweakers.net, www.ogame.nl.

Het geheugen gebruik elke seconde alleen maar toe neemt?
Als ik bijvoorbeeld Ogame speel, heb ik na een paar klikken en 4 uur aanstaan al rond de 300-400mb geheugen gebruik.
Is geheugenlek. Wordt waarschijnlijk in 2.0 eruitgevist(schijnt moeilijk te zijn). Gewoon ff niet 4 uur lang laten aanstaan.
Hoewel zulk soort fouten eigenlijk nooit leuk zijn is het goed dat ze bij Mozilla gewoon snel worden opgelost. Dit releasen wanneer het klaar is werkt gewoon veel beter.

Als je bijvoorbeeld naar Microsoft kijkt: stel een patch is net een dag na de maandelijkse patchdag klaar, dan zullen ze bij Microsoft gewoon rustig een maandje wachten tot de volgende patchdag, wat ik een kwalijke zaak vind. Misschien is het vervelend voor systeem beheerders, maar ik zou zeggen: dat is je werk! Ik hoop gewoon dat MS in de toekomst ook gewoon 'out-of-cycle' (belachelijke term trouwens) de patches verspreidt, dan bepalen de systeembeheerders toch lekker wanneer ze die patches willen installeren.
Voor Firefox zijn nu dus ook 5 'critical bugs' verzameld en in 1 update gestopt. Die 5 fixes zullen vast niet dezelfde dag af zijn gerond, dus hier is ook gewacht met het uitrollen.
Naarmate Firefox meer en meer gebruikt wordt (wat nu naderhand zo is), zullen ook meer en meer "bugs" en veiligheidslekken gevonden worden. Dit omdat er meer mensen mee bezig zijn, en de hackers ook wel snappen dat ze zich meer en meer op FF moeten richten!

Zie het als een strijd tussen hackers en Mozilla Foundation. Zoland Mozilla Foundation snel genoeg deftige updates uitbrengt, maken de hackers geen schijn van kans! :+

Daarbij ook dat FF een betere browser is dan IE, op alle vlakken: snelheid, functionaliteit, aanpasbaarheid(styles, extensions,...), veiligheid, ... 8-)
Eh sorry, maar FF is bepaald niet sneller dan IE 6 en al helemaal niet sneller dan IE 7 in mijn ervaring. Veiligheid ligt voor 99.9% bij de user.

Daarbij, jij gaat ervan uit dat iedere FF gebruiker updates ook installeert, da's een hele gevaarlijke aanname.
Dat komt omdat internet explorer al geladen wordt als je computer opstart. Iets vergelijkbaars gebeurt er met MS Office. (alleen hier stoppen ze de tool zichtbaar in je opstarten)

OpenOffice doet dit tegenwoordig ook, en rara opeens start het in 0.1 sec.

Daarnaast stoppen de meeste mensen hun firefox vol met rss feeds en adblockers, allerlei extensies, etc. Dat zorgt ervoor dat er heel veel verbindingen worden gemaakt voordat ie opstart.Ze zouden dat eigenlijk met een timer moet doen 2 a 3 seconden nadat ie opgestart is. Hmm misschien een idee voor feature request.
Updaten gaat geheel automatisch. ik had niet eens door dat ik een update had geinstalleerd... Ik kwam erachter omdat mijn startpagina was gewijzigd. (eerste keer opstarten na update)
Moest toch echt handmatig updaten. Zat nog niet eens op 1.5.0.3, die update was ook niet binnen gekomen. Maar autoupdate staat toch echt aan. Maar ja die functie blijkt dus niet te werken.

Overigens werkt het toevoegen van een "Zoek" machine ook nog steeds niet.
Ja en dat willen we...! Dus niet, ik wil weten wanneer er een update ge´nstalleerd wordt, voordat deze ge´nstalleerd wordt!
Naar mijn weten heb ik altijd FF sneller gevonden dan IE, zelfs 7!. Via de automatische updates van firefox, installeert iedereen die toch? Je moet gewoon FF opnieuw opstarten als je update wil installeren...
Ik meen dat updaten toch echt automatisch gaat(was bij mij ieg wel zo).
Veiligheid ligt voor 99.9% bij de user.
Nou, eerder 95%, er zijn gewoon dingen die je zelf amper in de hand hebt.
Kreeg net de update door lekker slim een update sinds donderdag en nu op zaterdag pas updaten,maar goed nog steeds waanzinnig goed en snel voor een gratis alternatief.
Hoewel alternatief is er wel een andere keus?? B-)
Opera, icab, onder mac safari, onder linux konqueror + nautilus (zo heet die van gnome toch?)
Je kunt dat windows euvel inderdaad geen alternatief noemen :)
nautilus is de filemanager, de webbrowser van gnome is epiphany ;)
Yep, de browserfunctie is al lange tijd geleden uit Nautilus gehaald
Ik had hem donderdag al...
Nadat ik de update had geinstalleerd moest ik FF opnieuw opstarten toen ging hij dus update en toen moest ik hem weer opnieuw downloaden :?
Ik heb em sinds gister ook binnen, werkt nogsteeds prima. Altijd fijn om te weten dat er weer wat bugs zijn verholpen.

Wat mij trouwens opviel... Themes? Is dat nou nieuw of...? Want van de ene kant kan ik me er vaag iets van herinneren, maar van de andere kant ook weer totaal niet. :P
Zitten er al in sinds dag 1 hoor.
Themes en extensies zijn een van de vele voordelen van Firefox. Ze zitten er al in sinds de oerang oetangs in mensen zijn veranderd.

Edit: dag 1 dus :)
Heb geen bug gezien in Firefox :+
Ik heb net geupdate naar 1.5.0.4. Zit hier de partial update op dit moment al bij in? Hij geeft namelijk aan dat er verder geen updates zijn gevonden.

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True