Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 43 reacties
Bron: News.com

Gisteren heeft de Mozilla Foundation officieel de patches vrijgegeven voor het veiligheidslek in Firefox dat halverwege deze maand werd aangetroffen. Een potentieel gevaarlijk geheugenprobleem in Thunderbird is eveneens gerepareerd.

Rood Firefox-logoHet veiligheidslek kwam eerder deze maand in het nieuws toen Michael Zalewski, een Poolse hacker, een proof-of-concept-programma op een mailinglist voor beveiligingsexperts plaatste. Door gebruik te maken van het lek, gedoopt tot de location.hostname-bug, kunnen kwaadwillende hackers de cookies en de permissies voor websites en wachtwoorden van het slachtoffer bewerken. Naast een fix voor dit probleem, hebben de ontwikkelaars ook een patch geschreven voor een kritieke geheugenfout, waardoor het systeem kon crashen. Hierdoor waren mensen die Javascript in hun e-mailberichten laten uitvoeren kwetsbaar voor aanvallen. De gebruikers die de afgelopen halve maand noodgedwongen een alternatieve browser moesten gebruiken kunnen nu weer met een gerust hart hier de gerepareerde versie van hun favoriete browser downloaden.

Moderatie-faq Wijzig weergave

Reacties (43)

Je kan het ook downloaden via firefox zelf.

'Help' -> 'Download Firefox 2.0.0.2'
of
'Help' -> 'Controleren op updates'
Had ik gister al met succes gedaan.

Komt ie vandaag met de mededeling dat FF 2.0.0.2 klaastaat (en die had ik echt al ge´nstalleerd, heb het gechecked bij about)

Raarrr
Waarom wordt die update niet automatisch verspreidt in Firefox? Handmatig werkte het wel uiteraard.
Schijnt ook nog eens per regio te gaan (ip-range) zodat de servers niet te zwaar belast worden in een korte periode.

*daarom moet Tweakers.net ook gewoon wachten op de officiele melding en niet als die op de FTP van mozilla staat daar naar toe linken. Ze hebben al meedere keren gevraagd om dit fatsoen op te brengen! *
VNU heeft het fatsoen afgekocht. :)
Dus de fix wordt "snel gereleased" dit wordt in de media gebracht (hey wij patchen sneller dan ms) en dan moet je fatsoenlijk enkele dagen wachten met een beveiligingslek in je PC tot het jou beurt is om te updaten??? :?
Nu breng je het wel heel cru, maar het is idd wel netjes om te wachten tot alle mirrors gesynchroniseerd zijn.
Het is vervelend als 80% van de gebruikers de update niet KUNNEN krijgen omdat de main-server voor de release al down is door het vele animo.

Daarbij, als jij wilt updaten dan kan je dat gewoon (manual update), maar de massa doet dit niet. Dus om de belasting te regelen, (ze hebben nu eenmaal niet het server-park van MS) laten ze de updates van de massa in verschillende stadia verlopen. Ook weer omdat je dan zeker weet dat iedereen de update krijgt, en niet alleen de vroege vogels.
Als mozilla niet zou willen dat stervelingen het downloaden, dan had men het niet op een pub ftp gezet, maar op een gesloten systeem voor populatie van mirrors.
Op mijn laptop kreeg ik hem gewoon aangeboden via de automatische update. Hier op mijn pc nog niet maar dat komt wel.
Automatische updates komen altijd wat later dan dat je zelf de update forceert.
Interessanter is welke acties er worden ondernomen om dit in de toekomst te voorkomen. Met meer marktaandeel - al is het momenteel wat minder - zullen deze producten ook vaker bloot komen te staan aan mensen die kwaad willen.

Microsoft heeft de laatste jaren, zeker na de Netsky wormen hier op organisatorisch gebied grote stappen gezet qua code audits, bijhouden welke programmeurs er voor verantwoordelijk waren, en indien nodig deze programmeurs voorzien van additionele scholing om fouten in de toekomst voor te zijn.

In de opensource community zal het onderdeel scholing hier al een stuk lastiger zijn, maar ik ben wel benieuwd hoe dit dan aangepakt gaat worden.
Elke patch word nu al eerst gereviewd door de module-maintainer (die dat gedeelte van de code dus goed kent), en daarna word nog een superreview gedaan door een ander, waarbij meer globaal op de code-stijl word gelet. Volgens mij is dat al een behoorlijk strenge controle: er word ook echt gekeken wat de code precies doet, en of dat niet beter kan, en er worden daarbij ook regelmatig patches afgekeurd.

De vaste ontwikkelaars zijn in dienst bij Mozilla, daar is dus wel prima scholing te doen.

En er lezen natuurlijk veel mensen mee in bugzilla.
In de opensource community zal het onderdeel scholing hier al een stuk lastiger zijn, maar ik ben wel benieuwd hoe dit dan aangepakt gaat worden.
Aangezien Grote prutser al een goed inhoudelijk antwoord gegeven heeft over het reilen en zeilen bij Mozilla ga ik daar niet op in.

Als we echter kijken naar bijvoorbeeld OpenBSD dan is duidelijk te zien dat open source wel degelijk kan focussen op veiligheid. Verder kunnen natuurlijk heel veel mensen meelezen in de broncode van open source projecten en op die manier de fouten opsporen en verwijderen.

Nu is er ook een keerzijde aan deze medaille, namelijk dat crackers ook in de broncode kunnen kijken om juist slechte dingen met de bugs te doen - maar ik denk niet dat je daarom de broncode maar geheim moet houden. En ook zonder de source weten crackers de lekken nog te vinden...

'Security through obscurity' werkt niet, dat is inmiddels wel bewezen met de diverse windows-os'en...
Leuk dat ze zoveel bezig zijn met die software maar ik heb het idee dat het steeds instabieler wordt. Ik gebruik Firefox al sinds het begin en het komt steeds vaker voor dat Firefox keihard crasht en afsluit met een foutmelding. Op Linux is dat al langer zo, op Windows eigenlijk zelden, maar op de Mac komt het sinds 1.5 behoorlijk vaak voor.
dan word het tijd om firefox in zijn geheel blanco opnieuw te installeren. krijg zelf ook wel eens het gevoel dat de profielen zelf update na update steeds meer vervuild raken en eerder fouten maken/crashen.
We mogen niet klagen :) - binnen 10 dagen na het bekend worden van de bug is er een nieuwe versie die dit veiligheidslek niet meer bevat...

En direct bij het bekend worden van de bug was er al een work-around beschikbaar zodat het mogelijk was om direct de bewuste functionaliteit uit te schakelen.
Die bug schijnt al opgelost te zijn,
Op 17 jaruari naar het schijnt.

Of de huidige browser er nog last van heeft kun je testen op de bugzilla pagina, met de testcase, crasht hij, dan is hij nog gevoelig voro deze fout, zo niet, opgelost.
Het betreft vrijwel steeds vulnerabilities in JavaScript. Die zijn eenvoudig te voorkomen met de NoScript extensie: https://addons.mozilla.org/firefox/722/.
Yup, hulde aan de snelheid. Microsoft IE team: eat your heart out! :+ Ok, ik hoop dat we het nu wel een beetje gehad hebben in alle reactie dat het zo snel gefixed is. Het wordt snel oud zulke reacties.

Ik ben zelf trouwens ook wel blij dat het certificaten overzicht niet meer geheuegen staat te lekken. Dat was ook een fix in deze versie. Ik gebruik het security system best wel met groot vertrouwen, maar ja... zulke berichten maken je wel weer quasi-blij.
Wat een onzin. Micrososft heeft een vaste patch dag in de maand (Tuesday Patch Day). Dat heeft niet te maken met
"
Microsoft IE team: eat your heart out
".

FireFox heeft niet zulke patch dagen omdat ze alleen maar een Browser en een mail client hebben.

En dit heeft niet te maken met MS vs Linux verhaal.

En ja ik ben een trouwe FireFox gebruiker. :)
Er zijn voldoende ernstige exploits geweest voor alles wat tussen IE5 en IE6 ligt. De patches voor de betreffende exploits werden, ook in ernstigere situaties, liever geheim gehouden (wat nooit is gelukt) en over een 'patch Tuesday' heen getild naar de volgende maand om een goede fix uit te brengen.

Dat kan je naar mijn idee een paar keer doen, maar dan verlies je mijn vertrouwen een beetje. En een patch uit brengen, omdat het 'patch Tuesday' is vind ik een non-argument.

Firefox heeft zulke dingen niet, die brengt de patches vrijer de wereld in. Er zijn tal van mensen die Microsofts vaste agenda hanteren en er zijn tal van mensen die zich niet gebonden voelen aan een strakke agenda.

Ik vind persoonlijk dat als er een ernstig lek is dat er van de agenda afgeweken moet worden. Microsoft doet dat soms met "zero-day exploits", maar ze hebben het ook al eens na gelaten. Ik hou van openheid van zaken. Als er nu een fix is en de fix is goed genoeg getest, dan moet je die direct distribueren.

effe als disclaimer: er zijn natuurlijk ook situaties waarin anderen dan Microsoft hun patches en patch-schema's niet op orde hebben. Zoals Mozilla zelf. Maar bij hun kan ik dan iig inzage krijgen in de procesgang waar de patch op vast loopt (en eventueel zelf mee helpen)
Jep, en dat is een waardeloos Microsoft concept.
En direct bij het bekend worden van de bug was er al een work-around beschikbaar zodat het mogelijk was om direct de bewuste functionaliteit uit te schakelen.
Microsoft Workarounds (inclusief IE) zijn vaak per direct beschikbaar via: http://www.microsoft.com/...eed.aspx?securityadvisory

Aangezien bepaalde Microsoft bugs ook FireFox-only gebruikers treft, is het altijd goed om die feed in de gaten te houden.

En deze bug was al eergisteren gemeld op de Mozilla feed (helaas geen aparte security feed): http://www.mozilla.org/news.rdf

Grappige notitie: Mozilla update 18 December 2006 16:00, 22 Januari 2007 16:00 en 22 Februari 2007 16:00. Monthly Patchday anyone?
Microsoft Workarounds (inclusief IE) zijn vaak per direct beschikbaar
jij ziet zeker ook roze olifanten vliegen? als er iemand traag is met patches is het MS wel. die wachten gewoon vrolijk op de volgende patchdag, zodat je gemiddeld altijd een halve maand zit te wachten op een kritieke security update.
Grappige notitie: Mozilla update 18 December 2006 16:00, 22 Januari 2007 16:00 en 22 Februari 2007 16:00. Monthly Patchday anyone?
Lijkt me gewoon toeval. die 16:00 is gewoon het tijdstip dat de build scripts gedraait worden, en ook bij mozilla worden fixes eerst getest voordat ze uit worden gebracht, dus die brengen heus niet eens in de 2 dagen een update uit.
Euhm, ligt t aan mij of is er alleen een update voor Firefox uit en helemaal geen update voor Thunderbird?
Als je de links uit het artikel volgt zal je zien dat daar ook de nieuwe Thunderbird 1.5.0.10 in het NL te vinden is, maar via de autoupdater is ie nog niet te vinden, en voor FireFox weer wel ........

[edit]
Volgens mij heb je inderdaad gelijk, verwarrend hoor, als de versienummers identiek zijn ;)
Weet je zeker dat het niet firefox 1.5.010 is ;)

qoute:
"Voor de vroege vogels hebben we vandaag nieuwe versies in de aanbieding van de webbrowser Firefox in zowel de 1.5 als de 2.0-tak, namelijk 1.5.0.10 en 2.0.0.2."
Kortom, de titel van dit nieuwsbericht klopt niet. ;)
Nee. Op de pagina van Mozilla(.com) staat alleen nog maar de 1.5.0.9 versie van Thunderbird. Geen idee of er nog een update aan komt.
Ja, ik heb t eigenlijk over deze pagina: link. De laatste stable is van 19 december 2006.
mensen die de melding krijgen dat Java Console 6 niet meer werkt, geen nood, alleen de console word niet meer geladen, java blijft dus wel nog werken

http://forums.mozillazine.org/viewtopic.php?p=2766666
Ze zouden eigenlijk een auto update erin moeten bouwen die mensen dwingt om te updaten indien ze online zijn, en dan natuurlijk alleen tav beveiligingsupdates. Door al die update popups van java, virusscanner, acrobat reader, skype, msn, windows, etc worden mensen update moe en gaan ze op nee klikken, ik wel tenminste want als je niet goed leest bij een update passen ze stiekem je zoekpage, homepagina, bestandsverwijzingen aan en installeren ze even google/yahoo toolbars en andere commerciele bijgroei.

Eigenlijk zouden alle beveiligingskritieke dingen via 1 update engine moeten lopen en functionaliteiten uitgeschakeld moeten worden totdat je update. Dit is de enige oplossing tegen de spam overlast, als je pc niet veilig is moet de clientsoftware blokkeren tot je de update draait. En bedrijven die vies doen zoals adobe nu met zijn google toolbar als je een reader wil installeren zouden we collectief moeten bannen.
hmmm alle updates via 1 programma

Is dat niet toevallig de manier hoe linux het doet met hun packetmanagers? :) :) 8-)
Goed idee, maar vergeet je niet dat, in dit geval bij Firefox, problemen kunnen ontstaan bij de extensions? :)
Als je je kring van noobs goed informeert dan staat daar alleen van de programma's die een veiligheidslek kunnen veroorzaken de auto-update aan, althans dat is wat ik zou doen.
De nieuwe versie lijkt de pagina's ook veel sneller te laden... zeer prettig... :)
Lijkt niks, zal wel tussen je oren zitten :)
Download hier de laatste builds;

Firefox (Bon Echo): http://manna.mozilla.org/...ightly/latest-mozilla1.8/

Thunderbird: ftp://ftp.mozilla.org/pub...latest-mozilla1.8/
Eh Bon Echo was de code-naam voor Firefox2. Hij is af, hij heeft geen code-naam meer. We zijn nu bezig met Firefox3 (Gran Paradiso)

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True