Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 43 reacties
Bron: Mozilla

Mozilla Firefox logo (75 pix)De ontwikkelaars van Firefox hebben een nieuwe versie van de browser uitgebracht die enkele ernstige fouten oplost. Versie 1.5.0.5 van Firefox verhelpt in totaal twaalf veiligheidsfouten, waarvan er zeven de aanduiding 'critical' hebben meegekregen. De ernstigste fouten maken het mogelijk voor kwaadwillende om volledige controle te krijgen over een systeem waarop een ongepatchte versie van Firefox draait. Naast de nodige veiligheidsfouten heeft de nieuwste versie van Firefox ook enkele verbeteringen die de stabiliteit moeten verbeteren. Ook zijn er verbeteringen doorgevoerd in de Friese-versie van Firefox. De veiligheidsfouten die in Firefox zijn ontdekt bleken ook aanwezig in de SeaMonkey applicatiesuite en zijn daarom ook in deze verzameling software verholpen. In de 1.0.x-serie van Firefox zijn ook dezelfde veiligheidsfouten aanwezig, maar deze worden niet meer verholpen omdat deze versie niet meer onderhouden wordt. Afgelopen april verscheen de laatste versie in de 1.0.x-lijn van Firefox.

Moderatie-faq Wijzig weergave

Reacties (43)

"In de 1.0.x-serie van Firefox zijn ook dezelfde veiligheidsfouten aanwezig, maar deze worden niet meer verholpen omdat deze versie niet meer onderhouden wordt."
Beetje jammer, zo oud is deze versie nog niet.

Het is dat er resources als FrontMotion de helpende hand bieden voor (kleine) Windows based omgevingen, maar een beetje klantonvriendelijk vind ik het wel. Ken bedrijven die zelfs commentaar krijgen door een al 3 jaar oud product niet meer te supporten . :?
In de 1.0.x serie moet je een volledige installatie doen, want er is geen auto-update functie. Dan kan je net zo goed direct 1.5.0.5 installeren. Deze versie heeft ook nog eens een auto-update functie en heb je er dus geen omkijken naar.
Zou willen dat het zo eenvoudig was, want er zijn toch verschillen tussen 1.0.x en 1.5.0.x

Een vrij irritant verschil is de manier waarop popups afgehandeld worden, kan je in 1.0.x nog kiezen om een specifieke te bekijken, moet je in 1.5.0.x ze of allemaal toestaan of allemaal blokkeren, wat ik een achteruitgang vind

Verder werkt adblock een stuk prettiger in 1.0.x, want in 1.5.0.x zijnn die 'kliklables' verdwenen die ik zo handig vind als je een specifiek object z'n url wil hebben

Na deze twee konstateringen heb ik besloten de 1.0.x nog maar een tijdje te gebruiken, en op m'n werk ben ik maar naar Opera overgestapt, die voor popups de vuilisbak heeft uitgevonden zodat ik weer specifiek die ene popup kan 'terughalen'

Jammer dat ik nu door al die afwezige security patches er hard aan moet denken thuis ook maar op Opera moet overschakelen, maarja, wie weet komen al die plugins die ik nu mis dan ook wel daarvoor sinds hun laatste versie!

Dus nee, zo eenvoudig ligt dat dus niet!
Maar dat zijn waarschijnlijk geen Open Source bedrijven die gratis software aanbieden, of wel dan?
Oh, want IE is niet gratis ofzo?

Jezus, hoe in vredesnaam kan iedereen bij elk FF nieuws toch MS er bij betrekken (en vice versa).

Nonstop lijkt het wel geek-wars, laat ieder lekker zn eigen OS/browser/whatever gebruiken om zijn/haar redenen.
:s Ergens mis ik MS in zijn post... Ik snap niet waarom jij die er nou weer bijhaalt. Ben het "op zich" met je eens, alleen zie ik hem dat niet doen. Maar ik vind opzich dat je minors gewoon hoort bij te houden van een browser. Als we het toch over MS hebben ;), de meeste mensen vinden het ook niet vreemd dat Windows zonder servicepacks niet veilig is. Het zou wat anders zijn als er een hele andere firefox die zich anders gedraagt komt met versie 2 oid.
Oh, want IE is niet gratis ofzo?
Nee, voor zover ik weet heb je daar een windows-licentie voor nodig...
Overigens hebben OS bedrijven (een contradictie interminus) dezelfde verantwoording. Als ik een systeem heb draaien met een applicatie van versie 1.0.x en daar is iedereen en ik tevreden mee vindt ik het op z'n minst onvriendelijk dat ik gedwongen wordt om te upgraden naar 1.5.x die wellicht helemaal anders is en andere problemen en extra werk meebrengt.

Het is het principe dat hier telt.
Niet helemaal waar, hier op de vloer kunnen we vanuit Firefox 1.5 niet meer printen naar de multifunctionals ( krijgt alleen een papierjte met illegal command bladiebla), en vanuit 1.0 kon dat nog wel.
Wel degelijk verschillen dus!
Dus je wil een nieuwe versie omdat je geen zin hebt om een nieuwe versie te installeren? :?

Firefox 1.5 is weinig anders dan 1.0, het draait even goed op ieder systeem dat ook 1.0 draaide, en werkt in gebruik vrijwel precies hetzelfde, daarom is het ook versie 1.5 en niet 2.0.
Alsof FF niet vet gesponsered is
De mozilla stichting verdient tientallen miljoenen aan Firefox. Dat ze het gratis aanbieden maakt dus niet zo uit. Zolangs ze nog geld verdienen aan de 1.0.x versies door bij google gegenereerde clicks kunnen ze die toch ook wel onderhouden in ieder geval qua security bug.
Het is niet alsof die versies al meer dan 4 jaar oud zijn of zo.
20010: MS Vista nu 3 jaar oud.

MS: We gaan IE 6.x niet meer patchen ga maar over op IE 7

de wereld is te klein dan
Besef je zelf dat dit nog niet eens zo onrealistisch is? MSIE 7 wordt namelijk straks als 'update' aangeboden aan bestaande gebruikers van WinXP+SP2.

Dit betekent dat over 3 jaar iedereen voldoende kans gehad heeft om over te gaan op IE7 en alle andere OS'en die geen IE7 aan zitten dan al lang over hun EOL heen...

Ik ga hierbij wel uit van een IE7 release dit najaar - maar als dat niet gebeurt mag je als jaar '2010+<delay in jaren>' nemen. }>

Ik geef toe dat het fijn zou zijn als 1.0 nog steeds bijgewerkt zou worden, maar als je bedenkt dat eind dit jaat Firefox 2.0 uitkomen en half volgend jaar (als alles volgens plan verloopt) Firefox 3.0, dan is het niet uitbrengen van een security release voor FF1.0 in eens een stukje logischer.

Ik zou er ook een beetje afgezaagde opmerking aan toe kunnen voegen:
Firefox 1.0 is open source, niemand houdt je tegen om zelf een verbeterde versie te gaan compileren...
20010: MS Vista nu 3 jaar oud.
:+
De term "Critical Bug" word idd enorm vaak gebruikt, maar als het via zo'n bug mogelijk is door derden om je computer te gebruiken zie ik verder geen probleem in de melding an sich.
Het is een algemeen aanvaardde, maar vooral ook door "minder ervaren" gebruikers, melding waarin in klare taal wordt verteld wat het probleem kan veroorzaken. Deze snappen gelijk waar het om gaat en voeren dan ook een update uit, weinig mis mee zou ik zeggen.
"it's not a bug, it's a feature" ;)

of was dat nou een ander proggie waar dat voor gelde? :?
Er staat me wel iets van bij dat het voor een ander programma GOLD ;) .
It's not a typo, it's a feature. :+
Aan de webdevvers hier aanwezig die gebruik maken van de FlashObject-class (of nu: SWFObject) om HTML-compliant flashanimaties in te bedden in je code: kijk je sites na en upgrade naar de laatste versie van SWFObject, want ik gebruikte versie 1.4.0, en met deze versie worden je animaties in FF 1.5.0.5 *niet* weergegeven!!

Upgraden naar versie 1.4.2 heeft het euvel verholpen...
"Ja firefox is zoooo veel veiliger dan Internet Explorer!" ahum. Dit soort newsposts heb ik al een paar gezien afgelopen jaar. We zullen ze nog heeeeeel veel zien.

Firefox is net zo lek. Ze moeten alleen nog even gevonden worden. Wat echter jammer is, is dat bij een IE-lek meteen het hele internet volgespamt maar bij een firefox-lek gaan ze heel stilletjes patchen en dan pas posten nadat er een update. Zielig gewoon. Admins en gebruikers moeten gewoon weten wat er met hun software mis is.
Het punt is dat je met FF veel minder kans loopt om vervelende spyware tegen te komen. Voor als nog is IE de grote marktleider en heeft dus ook veel meer potentiele slachtoffers (ook veel meer makkelijke slachtoffers).

De statement: FF is veiliger dan IE is dan volgens mij nog steeds geldig. Er zijn dan misschien wel even veel exploits, maar als men daar niks mee wilt doen omdat hun doelgroep dan te klein is, dan is die exploit dus ook niet "erg".

Voor sommige (meeste?) misschien een scheve redenatie, maar er zit wel wat in vind ik :P
Natuurlijk heeft ff lekken, maar om je nou meteen 'aangevallen' te voelen als ff gepatched wordt? Als jij IE fijner vind werken gebruik je dat toch, is verder ook een prima browser.

Het grote verschil is hoe er wordt omgegaan met een bug raport. Microsoft kent niet zoiets als 'feedback' waar je als user een bug oid kunt rapporteren. Bij IE gaat het typisch: iemand, zeg een security expert, vind een lek, wacht drie maand, MS reageert niet, de security expert maakt het lek openbaar, MS fixed het alsnog omdat het lek ondertussen al wild is. Het enige wat MS biedt is als je app hard crashed om een geautomatiseerd bugraport te sturen, waarbij je nieteens kunt aangeven wat je nu precies deed waardoor het crashde.

Bij FF, als de browser crashed, raar doet of de virusscanner gilt, kan iedereen een bug report submitten. Binnen een uur of twee hebben hier al meerdere mensen naar gekeken, je geadviseerd of om meer informatie gevraagd (plugins ed), kortom, je wordt zonder 'support contract' redelijk persoonlijk geholpen. Mocht er echt wat aan de hand zijn, dan is dat ook meestal binnen 1 a 2 weken verholpen, getest, vertaald en verspreid!

Samenvattend: bij ff leven critische bugs hooguit enkele dagen, te kort voor een wilde exploit, terwel het bij IE tot zelfs maanden kan duren, en veilig surfen zonder virusscanner, firewall en adaware in de praktijk onmogelijk is. (Overigens is een virusscanner altijd aan te raden).

Samenvattend: dat er bugs inzitten weet iedereen. Software schrijven staat nagenoeg gelijk aan bugs schrijven, dat geldt zelfs voor de beste programmeurs. Het is hoe je er mee omgaat. En MS is log, en heeft al meerdere malen laten blijken zich niks aan te trekken van wilde exploits en gewoon nog weken lang te treuzelen. Ja, toen er een HP printerdriver iets geks deed, toen konden ze wel ineens in drie dagen patchen...
Edit: eh, deze stond echt totaal verkeerd
Mozilla-* is het meest onvriendelijke pakket om te onderhouden op een linux distributie als het om security gaat.

Voorbeeld: ik doe firefox, thunderbird, seamonkey en xulrunner pakketjes voor archlinux. Komt een security update uit voor firefox, thunderbird en misschien seamonkey, maar niet voor XULRunner.
Waarom XULRunner zo belangrijk is: vroegah had je programma's die de embedding engine van de mozilla suite gebruikten. Uiteindelijk flikkert mozilla die eruit en gaan ze firefox promoten. Alle embedding programma's over naar firefox, bij elke minor update alles stuk en mag je alles recompilen. Nog niet zo erg, zeggen ze bij Mozilla: we hebben ook XULRunner, dat blijft wel stabiel door de versies heen en dat moet je gebruiken voor embedding (overigens sloopt xulrunner bij zowat elke minor versie update nog steeds alle programma's en mag je alsnog compilen).
Vervolgens wacht je 1-2 maanden na een firefox release tot, of erger nog, OF ze met een security update voor xulrunner komen. De bugreports die gefixt zijn met een firefox update op gebied van security houden ze gesloten voor het publiek omdat ze niet aan full disclosure doen, wat het voor een distro packager enorm moeizaam maakt om security updates bij te houden.
Je ziet het overal.

Critische bug ! Een kwaadwillende gebruiker kan de computer overnemen.

Net alsof ze dit kopieren uit , bugnames.txt
Het word zo vaak gebruikt, dat het niet meer als waarschuwing word gezien.
Dat komt omdat het meestal fouten zijn waarbij bepaalde data niet goed wordt gecontroleerd waardoor het kan voorkomen dat wanneer die data te lang is er een buffer overflow ontstaat, iets wat je in een low-level programmeertaal, waar Firefox in is geschreven eigenlijk overal kan hebben, tenzij je overal controles inbouwd.

Misbruik maken van een buffer overflow is in de meeste gevallen gelukkig niet zo makkelijk, maar als het gebeurt dan kunnen wel ale mogelijke instructies op die computer worden uitgevoerd waardoor deze bugs als extreem kritiek worden bestempeld.
Ik geloof er niets van dat Firefox in een low-level taal geschreven zou zijn.
Hoogstwaarschijnlijk gewoon in een high-level taal. Helaas is het echter ook in high-level talen mogelijk om buffer overflows te krijgen.

Terwijl het eigenlijk zo onnodig is. Ook in zo'n taal kun je makkelijk controles in bouwen die buffer overflows vermijden.
Firefox wordt geschreven in C++ wat wel een low-level taal is, alleen de GUI en extensies werken met JavaScript, wat weer door de engine in Firefox zelf wordt geinterpeteerd.
Hoe wil je dat ze het bestempelen: "Er zit een fout in internet! Een slechte meneer kan je computer helemaal kapot maken!" ???
Verwacht één dezer dagen Firefox 1.5.0.6. Er is een bug gevonden die het waard is om snel gefixed te worden...
Nee, voor zover ik weet heb je daar een windows-licentie voor nodig...

IE is wel gratis want IE kan je ook gratis downen voor de MAC
Even verschrikkelijk offtopic.. Maar het pijnigt mij om werkelijk *iedereen* de 'verkeerde' afkorting te zien gebruiken. De geprefereerde afkorting volgens de Mozilla site, is "Fx" of "fx", niet "ff".

Check de FAQ op de Mozilla site.
Pfff moet hier een nieuwsitem voor verschijnen?

Zo kan je wel voor elk stukje software iets op de FP neerzetten zodra het woordje "critical" er maar instaat ;( .
Het gaat hier natuurlijk wel om relatief veelgebruikte software die een update krijgt.

Daarbij wordt firefox voor zover ik weet toch meer gebruikt door de professionele computer gebruiker, waaronder bijv. sysadmins. In zo'n geval kan het nooit kwaad om het op iedere mogelijke manier duidelijk te maken dat er bugfixes zijn, dunkt me :Y)
Een goede sysadmin gebruikt wat z'n gebruikers gebruiken. Op die manier heeft de sysadmin genoeg ervaring om mensen te helpen en ziet fouten hopelijk zelf als eerste en kan ze oplossen voordat iemand er last van heeft.

Als de company policy Microsoft is (en dat is echt vaker als je denkt om hele goede redenen) dan kun je als sysadmin de grootste FireFox fan zijn, maar je bent toch beter af met IE op dat moment.
sysadmin =/= helpdesk!

De enige verantwoordelijkheid van de admin is te zorgen dat de boel draait (ja, ook in een MS omgeving :+). Of 'ie dat nu met firefox, of met linux of met windows doet is totaal niet van belang.

De helpdesk moet redelijkerwijs wel gebruiken wat de gebruikers hebben - en dat betekent dus vaak dat ze _heel veel_ verschillende versies van software moeten hebben :(
Tuurlijk moet dit verschijnen. Alle experts installeren FF bij noob's onder de omschrijving IE onveilig en FF veilig.

Wanneer er dan toch iets gevonden wordt in FF moet dat ook breed bekend worden.

Gelukkig melden ze bugs bij FF i.p.v. ze bekend te maken (met poc) op de tweede woensdag van de maand.
Al die experts hadden zelf een 'critical bug' als ze dat voor versie 1.5 gedaan hebben. Software die zichzelf niet automatisch patcht is niet geschikt voor n00bs. Ook niet voor mensen die denken dat software die veileig is, veilig blijft.

Het is in ieder geval goed dat ze versie 1.0.X eruit gooien des te sneller stappen mensen over op een veilige browser. Nu moeten ze nog zorgen dat gebruikers van 1.0.x op een of andere manier gewaarschuwd worden.
Ze mogen een keer een andere zin gebruiken, je komt die zin overal tegen, Winamp, FireFox, Internet Explorer, Windows Media Player, Windows Update. En wat jij zegt slaat totaal nergens op, het gaat erom dat ze niet telkens hetzelfde moeten zeggen.
Het is inderdaad van groot belang dat de mensen die de changelogs maken eens wat creatiever worden. Elke keer diezelfde melding dat er een bug gevonden is maakt het er ook niet duidelijker op!
Ik denk dat ik een clubje ga oprichten, iets met creatieve changelogs, zoiets. Lijkt me leuk! Doe je mee?

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True