Firefox en Thunderbird updates verhelpen veiligheidslekken

Gisteren heeft de Mozilla Foundation officieel de patches vrijgegeven voor het veiligheidslek in Firefox dat halverwege deze maand werd aangetroffen. Een potentieel gevaarlijk geheugenprobleem in Thunderbird is eveneens gerepareerd.

Rood Firefox-logoHet veiligheidslek kwam eerder deze maand in het nieuws toen Michael Zalewski, een Poolse hacker, een proof-of-concept-programma op een mailinglist voor beveiligingsexperts plaatste. Door gebruik te maken van het lek, gedoopt tot de location.hostname-bug, kunnen kwaadwillende hackers de cookies en de permissies voor websites en wachtwoorden van het slachtoffer bewerken. Naast een fix voor dit probleem, hebben de ontwikkelaars ook een patch geschreven voor een kritieke geheugenfout, waardoor het systeem kon crashen. Hierdoor waren mensen die Javascript in hun e-mailberichten laten uitvoeren kwetsbaar voor aanvallen. De gebruikers die de afgelopen halve maand noodgedwongen een alternatieve browser moesten gebruiken kunnen nu weer met een gerust hart hier de gerepareerde versie van hun favoriete browser downloaden.

Door Bart Veldstra

Freelance Nieuwsposter

Feedback • 24-02-2007 15:05 43

24-02-2007 • 15:05

43

Bron: News.com

Lees meer

Mozilla Firefox

geen prijs bekend

4.5 van 5 sterren
Internet Explorer

geen prijs bekend

3.5 van 5 sterren
Thunderbird krijgt geïntegreerde instant messaging-functie
Thunderbird krijgt geïntegreerde instant messaging-functie Nieuws van 19 maart 2012
Mozilla Thunderbird

geen prijs bekend

4 van 5 sterren
Mozilla: Firefox kwetsbaar voor kwaadaardige afbeeldingen
Mozilla: Firefox kwetsbaar voor kwaadaardige afbeeldingen Nieuws van 18 februari 2012
Mozilla zet vaart achter ontwikkeling Thunderbird
Mozilla zet vaart achter ontwikkeling Thunderbird Nieuws van 7 december 2009
Hoofd beveiliging Mozilla kondigt vertrek aan
Hoofd beveiliging Mozilla kondigt vertrek aan Nieuws van 12 december 2008
Ook Mozilla gaat Stopbadware.org steunen
Ook Mozilla gaat Stopbadware.org steunen Nieuws van 17 september 2008
Mozilla herstelt tien lekken en introduceert vijf nieuwe bugs
Mozilla herstelt tien lekken en introduceert vijf nieuwe bugs Nieuws van 29 oktober 2007
Twee Thunderbird-ontwikkelaars 'stappen op'
Twee Thunderbird-ontwikkelaars 'stappen op' Nieuws van 8 oktober 2007
Mozilla belooft binnen tien dagen kritieke patches -- update
Mozilla belooft binnen tien dagen kritieke patches -- update Nieuws van 7 augustus 2007
Browserlek veroorzaakt door combinatie IE en Firefox
Browserlek veroorzaakt door combinatie IE en Firefox Nieuws van 11 juli 2007
Microsoft dicht viertal 'remote code execution'-lekken
Microsoft dicht viertal 'remote code execution'-lekken Nieuws van 8 juni 2007
'Toolbars voor Firefox vormen toenemende dreiging'
'Toolbars voor Firefox vormen toenemende dreiging' Nieuws van 31 mei 2007
Gebruik Firefox blijft groeien in Europa
Gebruik Firefox blijft groeien in Europa Nieuws van 17 april 2007
Veel ontwikkeling Mozilla-producten door vrijwilligers
Veel ontwikkeling Mozilla-producten door vrijwilligers Nieuws van 17 februari 2007
Kwetsbaarheid in Firefox geeft cookies prijs
Kwetsbaarheid in Firefox geeft cookies prijs Nieuws van 16 februari 2007
Kwetsbaarheid IE en Firefox kan bestanden blootleggen
Kwetsbaarheid IE en Firefox kan bestanden blootleggen Nieuws van 14 februari 2007
IE7 geeft veilige sites 'groen licht'
IE7 geeft veilige sites 'groen licht' Nieuws van 2 februari 2007
Firefox 3 pas in derde of vierde kwartaal
Firefox 3 pas in derde of vierde kwartaal Nieuws van 13 januari 2007
Lucratief Firefox voorbeeld voor opensourcegemeenschap
Lucratief Firefox voorbeeld voor opensourcegemeenschap Nieuws van 4 januari 2007
Firefox-devver is ontstemd over 'pluggen' Google-producten
Firefox-devver is ontstemd over 'pluggen' Google-producten Nieuws van 30 december 2006
Meer producten en artikelen
Software Browsers Overige software Mozilla Firefox

Reacties (43)

-Moderatie-faq
43
42
28
19
5
3
Wijzig sortering

Sorteer op:

Weergave:
Verwijderd 24 februari 2007 15:10
Je kan het ook downloaden via firefox zelf.

'Help' -> 'Download Firefox 2.0.0.2'
of
'Help' -> 'Controleren op updates'
Jack Flushell @Verwijderd26 februari 2007 11:42
Had ik gister al met succes gedaan.

Komt ie vandaag met de mededeling dat FF 2.0.0.2 klaastaat (en die had ik echt al geïnstalleerd, heb het gechecked bij about)

Raarrr
Ranja_Ranja 24 februari 2007 16:23
Waarom wordt die update niet automatisch verspreidt in Firefox? Handmatig werkte het wel uiteraard.
BartOtten @Ranja_Ranja24 februari 2007 17:22
Schijnt ook nog eens per regio te gaan (ip-range) zodat de servers niet te zwaar belast worden in een korte periode.

*daarom moet Tweakers.net ook gewoon wachten op de officiele melding en niet als die op de FTP van mozilla staat daar naar toe linken. Ze hebben al meedere keren gevraagd om dit fatsoen op te brengen! *
sniek @BartOtten24 februari 2007 21:30
VNU heeft het fatsoen afgekocht. :)
TheCapK @sniek25 februari 2007 20:41
AUW! :+
Yalopa @BartOtten25 februari 2007 08:12
Dus de fix wordt "snel gereleased" dit wordt in de media gebracht (hey wij patchen sneller dan ms) en dan moet je fatsoenlijk enkele dagen wachten met een beveiligingslek in je PC tot het jou beurt is om te updaten??? :?
psyBSD @Yalopa25 februari 2007 09:13
Nu breng je het wel heel cru, maar het is idd wel netjes om te wachten tot alle mirrors gesynchroniseerd zijn.
Het is vervelend als 80% van de gebruikers de update niet KUNNEN krijgen omdat de main-server voor de release al down is door het vele animo.

Daarbij, als jij wilt updaten dan kan je dat gewoon (manual update), maar de massa doet dit niet. Dus om de belasting te regelen, (ze hebben nu eenmaal niet het server-park van MS) laten ze de updates van de massa in verschillende stadia verlopen. Ook weer omdat je dan zeker weet dat iedereen de update krijgt, en niet alleen de vroege vogels.
Blokker_1999
@BartOtten24 februari 2007 22:58
Als mozilla niet zou willen dat stervelingen het downloaden, dan had men het niet op een pub ftp gezet, maar op een gesloten systeem voor populatie van mirrors.
Onedayflyer682 @Ranja_Ranja24 februari 2007 16:26
Op mijn laptop kreeg ik hem gewoon aangeboden via de automatische update. Hier op mijn pc nog niet maar dat komt wel.
tiguan @Ranja_Ranja24 februari 2007 17:13
Automatische updates komen altijd wat later dan dat je zelf de update forceert.
Verwijderd 24 februari 2007 15:22
Interessanter is welke acties er worden ondernomen om dit in de toekomst te voorkomen. Met meer marktaandeel - al is het momenteel wat minder - zullen deze producten ook vaker bloot komen te staan aan mensen die kwaad willen.

Microsoft heeft de laatste jaren, zeker na de Netsky wormen hier op organisatorisch gebied grote stappen gezet qua code audits, bijhouden welke programmeurs er voor verantwoordelijk waren, en indien nodig deze programmeurs voorzien van additionele scholing om fouten in de toekomst voor te zijn.

In de opensource community zal het onderdeel scholing hier al een stuk lastiger zijn, maar ik ben wel benieuwd hoe dit dan aangepakt gaat worden.
user109731 @Verwijderd24 februari 2007 15:39
Elke patch word nu al eerst gereviewd door de module-maintainer (die dat gedeelte van de code dus goed kent), en daarna word nog een superreview gedaan door een ander, waarbij meer globaal op de code-stijl word gelet. Volgens mij is dat al een behoorlijk strenge controle: er word ook echt gekeken wat de code precies doet, en of dat niet beter kan, en er worden daarbij ook regelmatig patches afgekeurd.

De vaste ontwikkelaars zijn in dienst bij Mozilla, daar is dus wel prima scholing te doen.

En er lezen natuurlijk veel mensen mee in bugzilla.
Little Penguin
@Verwijderd24 februari 2007 15:45
In de opensource community zal het onderdeel scholing hier al een stuk lastiger zijn, maar ik ben wel benieuwd hoe dit dan aangepakt gaat worden.
Aangezien Grote prutser al een goed inhoudelijk antwoord gegeven heeft over het reilen en zeilen bij Mozilla ga ik daar niet op in.

Als we echter kijken naar bijvoorbeeld OpenBSD dan is duidelijk te zien dat open source wel degelijk kan focussen op veiligheid. Verder kunnen natuurlijk heel veel mensen meelezen in de broncode van open source projecten en op die manier de fouten opsporen en verwijderen.

Nu is er ook een keerzijde aan deze medaille, namelijk dat crackers ook in de broncode kunnen kijken om juist slechte dingen met de bugs te doen - maar ik denk niet dat je daarom de broncode maar geheim moet houden. En ook zonder de source weten crackers de lekken nog te vinden...

'Security through obscurity' werkt niet, dat is inmiddels wel bewezen met de diverse windows-os'en...
Exirion 25 februari 2007 10:52
Leuk dat ze zoveel bezig zijn met die software maar ik heb het idee dat het steeds instabieler wordt. Ik gebruik Firefox al sinds het begin en het komt steeds vaker voor dat Firefox keihard crasht en afsluit met een foutmelding. Op Linux is dat al langer zo, op Windows eigenlijk zelden, maar op de Mac komt het sinds 1.5 behoorlijk vaak voor.
jules @Exirion25 februari 2007 15:08
dan word het tijd om firefox in zijn geheel blanco opnieuw te installeren. krijg zelf ook wel eens het gevoel dat de profielen zelf update na update steeds meer vervuild raken en eerder fouten maken/crashen.
Little Penguin
24 februari 2007 15:09
We mogen niet klagen :) - binnen 10 dagen na het bekend worden van de bug is er een nieuwe versie die dit veiligheidslek niet meer bevat...

En direct bij het bekend worden van de bug was er al een work-around beschikbaar zodat het mogelijk was om direct de bewuste functionaliteit uit te schakelen.
packman @Little Penguin25 februari 2007 02:10
En er is meteen al een nieuwe serieuze security-bug in gevonden...
killercow @packman25 februari 2007 11:44
Die bug schijnt al opgelost te zijn,
Op 17 jaruari naar het schijnt.

Of de huidige browser er nog last van heeft kun je testen op de bugzilla pagina, met de testcase, crasht hij, dan is hij nog gevoelig voro deze fout, zo niet, opgelost.
sam.vimes @packman26 februari 2007 08:54
Het betreft vrijwel steeds vulnerabilities in JavaScript. Die zijn eenvoudig te voorkomen met de NoScript extensie: https://addons.mozilla.org/firefox/722/.
VisionMaster @Little Penguin24 februari 2007 15:20
Yup, hulde aan de snelheid. Microsoft IE team: eat your heart out! :+ Ok, ik hoop dat we het nu wel een beetje gehad hebben in alle reactie dat het zo snel gefixed is. Het wordt snel oud zulke reacties.

Ik ben zelf trouwens ook wel blij dat het certificaten overzicht niet meer geheuegen staat te lekken. Dat was ook een fix in deze versie. Ik gebruik het security system best wel met groot vertrouwen, maar ja... zulke berichten maken je wel weer quasi-blij.
loodgieter @VisionMaster24 februari 2007 23:22
Wat een onzin. Micrososft heeft een vaste patch dag in de maand (Tuesday Patch Day). Dat heeft niet te maken met
"
Microsoft IE team: eat your heart out
".

FireFox heeft niet zulke patch dagen omdat ze alleen maar een Browser en een mail client hebben.

En dit heeft niet te maken met MS vs Linux verhaal.

En ja ik ben een trouwe FireFox gebruiker. :)
VisionMaster @loodgieter25 februari 2007 10:11
Er zijn voldoende ernstige exploits geweest voor alles wat tussen IE5 en IE6 ligt. De patches voor de betreffende exploits werden, ook in ernstigere situaties, liever geheim gehouden (wat nooit is gelukt) en over een 'patch Tuesday' heen getild naar de volgende maand om een goede fix uit te brengen.

Dat kan je naar mijn idee een paar keer doen, maar dan verlies je mijn vertrouwen een beetje. En een patch uit brengen, omdat het 'patch Tuesday' is vind ik een non-argument.

Firefox heeft zulke dingen niet, die brengt de patches vrijer de wereld in. Er zijn tal van mensen die Microsofts vaste agenda hanteren en er zijn tal van mensen die zich niet gebonden voelen aan een strakke agenda.

Ik vind persoonlijk dat als er een ernstig lek is dat er van de agenda afgeweken moet worden. Microsoft doet dat soms met "zero-day exploits", maar ze hebben het ook al eens na gelaten. Ik hou van openheid van zaken. Als er nu een fix is en de fix is goed genoeg getest, dan moet je die direct distribueren.

effe als disclaimer: er zijn natuurlijk ook situaties waarin anderen dan Microsoft hun patches en patch-schema's niet op orde hebben. Zoals Mozilla zelf. Maar bij hun kan ik dan iig inzage krijgen in de procesgang waar de patch op vast loopt (en eventueel zelf mee helpen)
Rinzwind @loodgieter25 februari 2007 00:31
Jep, en dat is een waardeloos Microsoft concept.
Verwijderd @Little Penguin25 februari 2007 00:31
En direct bij het bekend worden van de bug was er al een work-around beschikbaar zodat het mogelijk was om direct de bewuste functionaliteit uit te schakelen.
Microsoft Workarounds (inclusief IE) zijn vaak per direct beschikbaar via: http://www.microsoft.com/...eed.aspx?securityadvisory

Aangezien bepaalde Microsoft bugs ook FireFox-only gebruikers treft, is het altijd goed om die feed in de gaten te houden.

En deze bug was al eergisteren gemeld op de Mozilla feed (helaas geen aparte security feed): http://www.mozilla.org/news.rdf

Grappige notitie: Mozilla update 18 December 2006 16:00, 22 Januari 2007 16:00 en 22 Februari 2007 16:00. Monthly Patchday anyone?
kozue
@Verwijderd25 februari 2007 12:06
Microsoft Workarounds (inclusief IE) zijn vaak per direct beschikbaar
jij ziet zeker ook roze olifanten vliegen? als er iemand traag is met patches is het MS wel. die wachten gewoon vrolijk op de volgende patchdag, zodat je gemiddeld altijd een halve maand zit te wachten op een kritieke security update.
Grappige notitie: Mozilla update 18 December 2006 16:00, 22 Januari 2007 16:00 en 22 Februari 2007 16:00. Monthly Patchday anyone?
Lijkt me gewoon toeval. die 16:00 is gewoon het tijdstip dat de build scripts gedraait worden, en ook bij mozilla worden fixes eerst getest voordat ze uit worden gebracht, dus die brengen heus niet eens in de 2 dagen een update uit.
Verwijderd 24 februari 2007 16:22
Euhm, ligt t aan mij of is er alleen een update voor Firefox uit en helemaal geen update voor Thunderbird?
TDeK @Verwijderd24 februari 2007 17:09
Nee. Op de pagina van Mozilla(.com) staat alleen nog maar de 1.5.0.9 versie van Thunderbird. Geen idee of er nog een update aan komt.
Verwijderd @TDeK24 februari 2007 19:18
Ja, ik heb t eigenlijk over deze pagina: link. De laatste stable is van 19 december 2006.
CARman @Verwijderd24 februari 2007 20:17
Als je de links uit het artikel volgt zal je zien dat daar ook de nieuwe Thunderbird 1.5.0.10 in het NL te vinden is, maar via de autoupdater is ie nog niet te vinden, en voor FireFox weer wel ........

[edit]
Volgens mij heb je inderdaad gelijk, verwarrend hoor, als de versienummers identiek zijn ;)
aliencowfarm @CARman25 februari 2007 01:20
Weet je zeker dat het niet firefox 1.5.010 is ;)

qoute:
"Voor de vroege vogels hebben we vandaag nieuwe versies in de aanbieding van de webbrowser Firefox in zowel de 1.5 als de 2.0-tak, namelijk 1.5.0.10 en 2.0.0.2."
Verwijderd @aliencowfarm25 februari 2007 21:57
Kortom, de titel van dit nieuwsbericht klopt niet. ;)
TwistedAnimator 25 februari 2007 10:30
mensen die de melding krijgen dat Java Console 6 niet meer werkt, geen nood, alleen de console word niet meer geladen, java blijft dus wel nog werken

http://forums.mozillazine.org/viewtopic.php?p=2766666
Verwijderd 24 februari 2007 16:50
Ze zouden eigenlijk een auto update erin moeten bouwen die mensen dwingt om te updaten indien ze online zijn, en dan natuurlijk alleen tav beveiligingsupdates. Door al die update popups van java, virusscanner, acrobat reader, skype, msn, windows, etc worden mensen update moe en gaan ze op nee klikken, ik wel tenminste want als je niet goed leest bij een update passen ze stiekem je zoekpage, homepagina, bestandsverwijzingen aan en installeren ze even google/yahoo toolbars en andere commerciele bijgroei.

Eigenlijk zouden alle beveiligingskritieke dingen via 1 update engine moeten lopen en functionaliteiten uitgeschakeld moeten worden totdat je update. Dit is de enige oplossing tegen de spam overlast, als je pc niet veilig is moet de clientsoftware blokkeren tot je de update draait. En bedrijven die vies doen zoals adobe nu met zijn google toolbar als je een reader wil installeren zouden we collectief moeten bannen.
hackerhater @Verwijderd25 februari 2007 11:27
hmmm alle updates via 1 programma

Is dat niet toevallig de manier hoe linux het doet met hun packetmanagers? :) :) 8-)
Jermaine @Verwijderd24 februari 2007 17:29
Goed idee, maar vergeet je niet dat, in dit geval bij Firefox, problemen kunnen ontstaan bij de extensions? :)
TheCapK @Verwijderd25 februari 2007 20:43
Als je je kring van noobs goed informeert dan staat daar alleen van de programma's die een veiligheidslek kunnen veroorzaken de auto-update aan, althans dat is wat ik zou doen.
NightCrawler_NX 24 februari 2007 15:21
De nieuwe versie lijkt de pagina's ook veel sneller te laden... zeer prettig... :)
nietes @NightCrawler_NX24 februari 2007 16:16
Lijkt niks, zal wel tussen je oren zitten :)
Verwijderd 24 februari 2007 20:30
Download hier de laatste builds;

Firefox (Bon Echo): http://manna.mozilla.org/...ightly/latest-mozilla1.8/

Thunderbird: ftp://ftp.mozilla.org/pub...nightly/latest-mozilla1.8/
ferdinand @Verwijderd25 februari 2007 09:35
Download hier de laatste builds;

Firefox (Bon Echo): http://manna.mozilla.org/...ightly/latest-mozilla1.8/

Thunderbird: ftp://ftp.mozilla.org/pub...latest-mozilla1.8/
Eh Bon Echo was de code-naam voor Firefox2. Hij is af, hij heeft geen code-naam meer. We zijn nu bezig met Firefox3 (Gran Paradiso)

Op dit item kan niet meer gereageerd worden.

Apple iPhone 17 LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq