Firefox-ontwikkelaars verhelpen kritieke bugs

Mozilla heeft afgelopen donderdag een update uitgebracht voor Firefox. Versie 1.5.0.4 van de browser verhelpt een aantal veiligheidsproblemen die aanwezig zijn in Firefox, waarvan vijf bugs worden aangeduid als 'critical'. De ernstigste problemen stellen kwaadwillende personen in de gelegenheid een systeem waarop een oudere versie van Firefox worden gebruikt over te nemen. Het onderzoeksbedrijf Secunia geeft de veiligheidsfouten een hogere risico-aanduiding. Volgens de advisitory van dit bedrijf zijn de fouten in Firefox 'highly critical'. Ook de e-mailapplicatie Thunderbird is voorzien van een update, aangezien ook hierin een veiligheidsfout is ontdekt.

De ernstige fout in de browser maakt het mogelijk om geheugenfouten te veroorzaken die kunnen worden misbruikt voor het uitvoeren van kwaadaardige programmacode. Daarnaast is er een fout ontdekt in de 'sandbox bescherming' van de JavaScript-engine, waardoor het mogelijk is te ontsnappen uit de sandbox en dus willekeurige JavaScript-code uit te voeren met onbeperkte rechten. Ook is er een fout ontdekt in het verwerken van HTTP-antwoorden waardoor het mogelijk is willekeurige programmacode uit te voeren. Een fout in de 'View Image' en 'Show only this frame'-functies van Firefox maakt het eveneens mogelijk voor hackers om willekeurige programmacode uit te voeren. De ontdekte fouten zijn waarschijnlijk ook aanwezig in de 1.0.x-versie van Firefox. Voor deze oude versie van de browser is er nu ook nog een veiligheidsupdate verschenen, maar dit zal de laatste zijn. De Mozilla Foundation adviseert dan ook om over te stappen op de nieuwste versie van de browser.

Mozilla Firefox 1.5.x na update screenshot (resized)

Door Martin Sturm

Nieuwsposter

Feedback • 03-06-2006 09:51 47

03-06-2006 • 09:51

47

Bron: C|Net

Lees meer

HP rust nieuwe desktops uit met veilige Mozilla-browser
HP rust nieuwe desktops uit met veilige Mozilla-browser Nieuws van 9 september 2008
Mozilla herstelt tien lekken en introduceert vijf nieuwe bugs
Mozilla herstelt tien lekken en introduceert vijf nieuwe bugs Nieuws van 29 oktober 2007
'Toolbars voor Firefox vormen toenemende dreiging'
'Toolbars voor Firefox vormen toenemende dreiging' Nieuws van 31 mei 2007
Bug in Thunderbird vernielt mailtjes
Bug in Thunderbird vernielt mailtjes Nieuws van 27 november 2006
Firefox 2-bug maakt wachtwoorden openbaar
Firefox 2-bug maakt wachtwoorden openbaar Nieuws van 22 november 2006
Hacker neemt claim Firefox-lekken terug
Hacker neemt claim Firefox-lekken terug Nieuws van 4 oktober 2006
JavaScript vormt toenemend veiligheidsrisico
JavaScript vormt toenemend veiligheidsrisico Nieuws van 29 juli 2006
Firefox-gebruikers krijgen kans op vereeuwiging naam
Firefox-gebruikers krijgen kans op vereeuwiging naam Nieuws van 19 juli 2006
Onderzoeker roept juli uit tot maand van de browserbug
Onderzoeker roept juli uit tot maand van de browserbug Nieuws van 8 juli 2006
Firefox-update verhelpt veiligheidsbugs
Firefox-update verhelpt veiligheidsbugs Nieuws van 15 april 2006
Firefox slaagt ook voor Acid2-test
Firefox slaagt ook voor Acid2-test Nieuws van 12 april 2006
Mozilla's hoofdontwikkelaar vertelt over Firefox 2.0
Mozilla's hoofdontwikkelaar vertelt over Firefox 2.0 Nieuws van 21 februari 2006
Firefox 1.5-exploit voor Linux en Mac OS X
Firefox 1.5-exploit voor Linux en Mac OS X Nieuws van 9 februari 2006
Meer producten en artikelen
Software

Reacties (47)

-Moderatie-faq
47
47
36
13
1
2
Wijzig sortering
DeadLock 3 juni 2006 10:00
Ik heb op alle pc's waarop ik werk , al de update binnen . De automatische update functie doet het echt goed :) .

Jammer , maar begrijpelijk , dat er ook zoveel veiligheidsfouten zitten in FF. Goed dat deze snel gepatched worden.
Tijger @DeadLock3 juni 2006 12:53
Op zich heb je gelijk maar ik speel even advocaat van de duivel hier.

Waarom is het begrijpelijk dat FF dergelijke veiligheidsfouten bevat? Was het argument niet jarenlang dat toegang tot de source tot minder bugs leidde, vanuit die optiek vraag ik dan waarom er dan nog constant nieuwe bugs gevonden worden in FF.

Volgens de 'million eyes' theorie zou FF perfect moeten zijn nu.
Verwijderd @Tijger3 juni 2006 13:23
Nouja zou het niet moeten zijn. Maar ik denk dat deze problemen ontdekt zijn juist _doordat_ de code opensource is. Dit soort exploits (met name de greasemonkey exploit) ondek je echt niet zo maar zonder toegang tot de broncode.

Ik geloof dan ook niet dat OS per definitei veiliger is. Het is relatief veiligere code, _maar_ de broncode is beschikbaar, de motorkap is open: de hacker kan gewoon gaan vissen naar gaten. De code van MS zal waarschijnlijk meer gaten bevatten, maar zonder inzicht in de code, weet je niet waar je moet gaan zoeken.

Het is dus een motivatie kwestie, de mensen die gaten in IE vinden hebben meer moeite gedaan en zullen deze informatie minder gauw naar buiten brengen. (Waarom zou je weken gaan zoeken naar een exploit als je er geen misbruik van wilt maken?)

Daarnaast is er al een tijdje een aantal overheids instanties (inclusief de amerikaanse defensie) bezig allerlei open source software op veiligheid te onderzoeken (simepelweg omdat het bij deze software door een externe partij kan). Dit heeft een groot aantal bugfixes en security holes opgelost. Hoe cynisch het ook is, uiteindeiljk zal het paranoia zijn wat opensource commonplace zal maken. Gebrek aan vertrouwen. Men wil geen chinese PC, en men wil geen software waarvan ze niet kunnen controleren wat het doet (lees: de broncode hebben).
Snapte @Tijger3 juni 2006 13:35
Ik moet je gelijk geven dat Firefox standaard niet sneller ism aar als je firefox ff tweaked met about:config, dan kan je je browser toch echt wel velen malen sneller laten browsen dan IE.
Maar dit is natuurlijk niet voor alle computers n00bs weg gelegd!!
Hubert @Snapte3 juni 2006 13:56
gewoon fasterfox installeren ;)
DigiK-oz @DeadLock3 juni 2006 10:22
Auto-update heeft nog wat kuren bij mij. Als ik bij de update history kijk, staat er :

1.5.0.4 installed
Status : (AUS) connection timed out

Bij help->about staat 1.5.0.3

Het lijkt erop dat als een update wordt gezien, maar de daadwerkelijke update fout gaat, deze niet nog eens wordt geprobeerd omdat FF denkt dat de update al is geinstalleerd.

Maar goed, 1.5.0.4 gedownload en eroverheen geinstalleerd en alles is weer ok.
Cameleon73 @DigiK-oz3 juni 2006 12:05
Waar zit die 'Update history' eigenlijk? Ik ben wel benieuwd (overigens ging auto update hier wel goed - WinXP SP2
, vanaf 1.5.0.3).
Milky Way @Cameleon733 juni 2006 13:38
Tools > options > advanced > update > en dan onderaan "Show update history" ;)
Verwijderd @DigiK-oz3 juni 2006 11:44
Hier precies hetzelfde, maar dan met een (AUS) Connection refused.
Loki @DeadLock3 juni 2006 10:53
Bij mij verschilt het juist heel erg. Soms wel direct een auto-update, de andere keer gebeurt er niks (en dus maar handmatig check...)
Dorus @Loki3 juni 2006 11:00
Ik had ook problemen met de automatische update. Op de ene computer ging het helemaal vanzelf, op de andere (mijn primaire nog wel), kreeg ik ook een time out.
Door vervolgens op help-->Controleren op updates... te klikken vond hij opnieuw 1.5.0.4, en downloade hij de partial update. Voordeel hier van is dat deze een stuk kleiner is dan de hele download. En dat hij het automatisch en sneller installeert.
wizzkizz 3 juni 2006 11:17
Goh, nog helemaal geen reacties dat FF zo buggy is. IE had al 100 van zulke replies gehad. Begrijp me goed, ik gebruik zelf ook FF, maar ik vind dat die bijna net zo vaak patches uit moeten brengen als microsoft voor IE, dus een fundamenteel verschil in veiligheid lijkt er niet te zijn (afgezien van de afwezigheid van ActiveX support, wat een verstandige beslissing was ivm beveiligingsrisico's).
PatMan @wizzkizz3 juni 2006 11:34
Vergis je niet in de veel grotere veiligheid die Firefox biedt ten opzichte van IE. Uiteraard kennen alle browsers hun bugs en kritieke bugs, maar hou er ook rekening mee dat de Mozilla Foundation veel sneller patches uitbrengt dan Microsoft. Op Secunia staat Firefox ook niet voor niets als less critical aangemerkt t.o.v. de Highly Critical van Internet Explorer.

Daarnaast kent Firefox natuurlijk ook een veel uitgebreidere functionaliteit, zoals friek terecht opmerkt.Tabbladen, plugins, themes, etc.
Wim-Bart @PatMan4 juni 2006 02:26
Patman2 schreef:
Vergis je niet in de veel grotere veiligheid die Firefox biedt ten opzichte van IE.
Gaarne feiten. Want wat is de criteria voor deze bewering. Persoonlijk heb ik geen voorkeur voor IE, FF of Opera, maar van de extra veiligheid van Firefox heb ik niks gemerkt, althans niet bij n00b gebruikers. Het aantal spyware, popups en virussen blijft maar binnenstromen onder firefox. FF geeft een vals gevoel van veiligheid omdat de "kenners" roepen dat het veiliger is om met FF te internetten. Maar veilig internetten heeft niks met FF of IE of anders te maken, maar met de internet mentaliteit. Zolang n00bs toch maar op OK en Ja klikken zonder berichten te lezen blijft het fout gaan, zonder goede anti-spyware en virus scanner blijft het fout gaan. Zolang mensen nog als "root" op hun pc blijven werken blijft het fout gaan.

Een PC is zo veilig als de gebruiker er mee omgaat, of het nu FF, IE, Opera of wat dan ook is.
XIU @Wim-Bart4 juni 2006 09:39
Heb hier bij familie meerdere malen de pc kunnen opkuisen voor al die spyware weg te krijgen, uiteindelijk toch kunnen overhalen om firefox te draaien omdat er nogal veel "vieze" sites bezocht werden.

AdBlock installeren, AdBlock auto-updater, hosts file aanpassen, en moet zeggen heb nog geen enkele keer de pc kunnen opkuisen in de laatste 6 maanden ofzo.
Verwijderd @PatMan3 juni 2006 15:00
En ja.. Opera ownt al. http://secunia.com/product/4932/ Geen open beveiligings lekken dus 100% veilig te gebruiken..

Deze site zegt dus erg weinig over de algemene veiligheid van een browser, alleen over of er wel een patch is die het probleem verhelpt.
Verwijderd @Verwijderd3 juni 2006 15:41
Logica 101:

IE = meest gebruikte browser, daar heeft men al jaren de critise bugs moeten uithalen.

FF = de opkomende massa populaire browser, geen wonder dat deze nu onder het vergrootglas staat. Maar, dankzij de auto update die vrij snel in FF zat, worden de bugs snel gefixed. De kritiek die IE krijgt is een gevolg van de jaren de browser te verwaarlozen, en hun eigen zin te doen sinds er toen geen concurrentie was.

Opera: een zo goed als onbekende browser bij het publiek, met als gevolg dat men weinig bughunting erop doet. Hoeveel % was Opera weeral? 1%? Geef Opera het markaandeel van FF, en je zal daar ook de bugs zien oppoppen als vlooien op een straathond.
Archimond @Verwijderd3 juni 2006 16:20
Dat kan je zelf instellen.
De standaard keuze om automatisch te laten patchen is wel handig voor de onwetende gebruiker.

Bij: extra>opties...>tabblad Geavanceerd>tabblad Update kan je alles instellen.
Daenney @Verwijderd3 juni 2006 17:32
Omdat er geen open bugs staan betekent niet dat het 100% veilig te gebruiken is, da's de kromste ICT-logica die ik in tijden heb gehoord!
Zolang code geprogrammeerd wordt door mensen zullen er fouten in zitten aangezien mensen ook geen perfecte logica kennen.

* Daenney stuurt sanderev66 terug naar de basisschool
Verwijderd @wizzkizz3 juni 2006 11:23
Wordt software dan alleen maar afgerekend op 'bugs' of is er ook nog zoiets als 'fuctionaliteit'.. Microsoft heeft hardhandig moeten leren wat er gebeurd als 95% dezelfde browser gebruikt, en ik heb geen illusies dat ff bugvrij is (hoewel het idd een behoorlijk heftig rijtje fixes is dit keer), maar dat wil niet zeggen dat IE een slechte browser is.. Ff vind ik gewoon een fijne browser met veel mogelijkheden en met name ideaal als je zelf aan webontwikkeling doet..
YaPP @wizzkizz3 juni 2006 17:00
Bedenk je wel dat:
- een MSIE rechtstreeks geïntegreerd is met de Windows shell, dus exploit je MSIE, dan exploit je de volledige desktop shell.
- MSIE kan standaard ActiveX toe laten.

ActiveX was bedoelt als communicatielaag tussen locale applicaties. Microsoft heeft vervolgens ActiveX bijna 1-op-1 te 'gepoort' heeft naar het web, om meer te kunnen bieden dan de concurrentie. Met deze ingang zijn er teveel wegen opengezet vanaf MSIE andere applicaties te misbruiken. Het I-love-you virus is hier een voorbeeld van, de sourcecode bevat bijna alleen maar aanroepen naar ActiveX objecten.

MSIE exploiten geeft je veel mogelijkheden. FF heeft hier het voordeel het letterlijk een losstaande applicatie is.
Archimond 3 juni 2006 16:25
Heeft iemand ook last van dat wanneer je 20 websites met javascript zoals: www.nederland.fm, tweakers.net, www.ogame.nl.

Het geheugen gebruik elke seconde alleen maar toe neemt?
Als ik bijvoorbeeld Ogame speel, heb ik na een paar klikken en 4 uur aanstaan al rond de 300-400mb geheugen gebruik.
Daimanta @Archimond3 juni 2006 22:12
Is geheugenlek. Wordt waarschijnlijk in 2.0 eruitgevist(schijnt moeilijk te zijn). Gewoon ff niet 4 uur lang laten aanstaan.
Toolskyn 3 juni 2006 10:09
Hoewel zulk soort fouten eigenlijk nooit leuk zijn is het goed dat ze bij Mozilla gewoon snel worden opgelost. Dit releasen wanneer het klaar is werkt gewoon veel beter.

Als je bijvoorbeeld naar Microsoft kijkt: stel een patch is net een dag na de maandelijkse patchdag klaar, dan zullen ze bij Microsoft gewoon rustig een maandje wachten tot de volgende patchdag, wat ik een kwalijke zaak vind. Misschien is het vervelend voor systeem beheerders, maar ik zou zeggen: dat is je werk! Ik hoop gewoon dat MS in de toekomst ook gewoon 'out-of-cycle' (belachelijke term trouwens) de patches verspreidt, dan bepalen de systeembeheerders toch lekker wanneer ze die patches willen installeren.
Frank-L @Toolskyn3 juni 2006 13:57
Voor Firefox zijn nu dus ook 5 'critical bugs' verzameld en in 1 update gestopt. Die 5 fixes zullen vast niet dezelfde dag af zijn gerond, dus hier is ook gewacht met het uitrollen.
Verwijderd 3 juni 2006 12:04
Naarmate Firefox meer en meer gebruikt wordt (wat nu naderhand zo is), zullen ook meer en meer "bugs" en veiligheidslekken gevonden worden. Dit omdat er meer mensen mee bezig zijn, en de hackers ook wel snappen dat ze zich meer en meer op FF moeten richten!

Zie het als een strijd tussen hackers en Mozilla Foundation. Zoland Mozilla Foundation snel genoeg deftige updates uitbrengt, maken de hackers geen schijn van kans! :+

Daarbij ook dat FF een betere browser is dan IE, op alle vlakken: snelheid, functionaliteit, aanpasbaarheid(styles, extensions,...), veiligheid, ... 8-)
Tijger @Verwijderd3 juni 2006 12:55
Eh sorry, maar FF is bepaald niet sneller dan IE 6 en al helemaal niet sneller dan IE 7 in mijn ervaring. Veiligheid ligt voor 99.9% bij de user.

Daarbij, jij gaat ervan uit dat iedere FF gebruiker updates ook installeert, da's een hele gevaarlijke aanname.
Verwijderd @Tijger3 juni 2006 15:10
Dat komt omdat internet explorer al geladen wordt als je computer opstart. Iets vergelijkbaars gebeurt er met MS Office. (alleen hier stoppen ze de tool zichtbaar in je opstarten)

OpenOffice doet dit tegenwoordig ook, en rara opeens start het in 0.1 sec.

Daarnaast stoppen de meeste mensen hun firefox vol met rss feeds en adblockers, allerlei extensies, etc. Dat zorgt ervoor dat er heel veel verbindingen worden gemaakt voordat ie opstart.Ze zouden dat eigenlijk met een timer moet doen 2 a 3 seconden nadat ie opgestart is. Hmm misschien een idee voor feature request.
YStec @Tijger3 juni 2006 13:58
Updaten gaat geheel automatisch. ik had niet eens door dat ik een update had geinstalleerd... Ik kwam erachter omdat mijn startpagina was gewijzigd. (eerste keer opstarten na update)
Wim-Bart @YStec4 juni 2006 02:32
Moest toch echt handmatig updaten. Zat nog niet eens op 1.5.0.3, die update was ook niet binnen gekomen. Maar autoupdate staat toch echt aan. Maar ja die functie blijkt dus niet te werken.

Overigens werkt het toevoegen van een "Zoek" machine ook nog steeds niet.
Verwijderd @YStec3 juni 2006 14:51
Ja en dat willen we...! Dus niet, ik wil weten wanneer er een update geïnstalleerd wordt, voordat deze geïnstalleerd wordt!
Verwijderd @Tijger3 juni 2006 13:07
Naar mijn weten heb ik altijd FF sneller gevonden dan IE, zelfs 7!. Via de automatische updates van firefox, installeert iedereen die toch? Je moet gewoon FF opnieuw opstarten als je update wil installeren...
Daimanta @Tijger3 juni 2006 13:09
Ik meen dat updaten toch echt automatisch gaat(was bij mij ieg wel zo).
Sjah @Tijger3 juni 2006 14:52
Veiligheid ligt voor 99.9% bij de user.
Nou, eerder 95%, er zijn gewoon dingen die je zelf amper in de hand hebt.
Verwijderd 3 juni 2006 09:57
Kreeg net de update door lekker slim een update sinds donderdag en nu op zaterdag pas updaten,maar goed nog steeds waanzinnig goed en snel voor een gratis alternatief.
Hoewel alternatief is er wel een andere keus?? B-)
dtech @Verwijderd3 juni 2006 10:01
Opera, icab, onder mac safari, onder linux konqueror + nautilus (zo heet die van gnome toch?)
Je kunt dat windows euvel inderdaad geen alternatief noemen :)
jealma @dtech3 juni 2006 12:05
nautilus is de filemanager, de webbrowser van gnome is epiphany ;)
Verwijderd @jealma4 juni 2006 02:25
Yep, de browserfunctie is al lange tijd geleden uit Nautilus gehaald
BRAINLESS01 @Verwijderd3 juni 2006 10:07
Ik had hem donderdag al...
DJVG 4 juni 2006 01:01
Nadat ik de update had geinstalleerd moest ik FF opnieuw opstarten toen ging hij dus update en toen moest ik hem weer opnieuw downloaden :?
Dint 3 juni 2006 10:04
Ik heb em sinds gister ook binnen, werkt nogsteeds prima. Altijd fijn om te weten dat er weer wat bugs zijn verholpen.

Wat mij trouwens opviel... Themes? Is dat nou nieuw of...? Want van de ene kant kan ik me er vaag iets van herinneren, maar van de andere kant ook weer totaal niet. :P
j0bro @Dint3 juni 2006 10:38
Zitten er al in sinds dag 1 hoor.
gamepower2005 @Dint3 juni 2006 10:40
Themes en extensies zijn een van de vele voordelen van Firefox. Ze zitten er al in sinds de oerang oetangs in mensen zijn veranderd.

Edit: dag 1 dus :)
nietes 3 juni 2006 10:15
Heb geen bug gezien in Firefox :+
Bor Coördinator Frontpage Admins / FP Powermod 3 juni 2006 11:01
Ik heb net geupdate naar 1.5.0.4. Zit hier de partial update op dit moment al bij in? Hij geeft namelijk aan dat er verder geen updates zijn gevonden.

Op dit item kan niet meer gereageerd worden.

Apple iPhone 16e LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq