Lekken verholpen in nieuwe versies Mozilla Firefox en Suite
De Mozilla Foundation heeft een update uitgebracht voor haar open source browser Firefox en Mozilla Suite software. De update verhelpt onder andere een kritiek lek in de programma's dat door kwaadwillende personen misbruikt kon worden om vertrouwelijke (systeem) informatie te achterhalen. Versie 1.7.7 van de Mozilla Suite is via deze link te downloaden. Firefox 1.0.3 kan hier te downloaden. De volledige lijst met security lekken die in de nieuwe versies verholpen zijn, is op deze pagina te vinden. (MozillaZine)
Reacties (8)
17-04-2005, 17:33 door
G-Force
De Nederlandstalige Firefox is ook te downloaden via onderstaande link:
http://www.mozilla.org/products/firefox/all.html
http://www.mozilla.org/products/firefox/all.html
Sommige van die lekken zijn al weken geleden gevonden. Wat een slecht
gedoe, ga je over omdat je het idee krijgt dat je A. minder hoeft te patchen
B de fouten sneller verholpen worden blijkt het net zo bagger te zijn als ie.
gedoe, ga je over omdat je het idee krijgt dat je A. minder hoeft te patchen
B de fouten sneller verholpen worden blijkt het net zo bagger te zijn als ie.
17-04-2005, 21:36 door
Bitwiper
Het door de redactie genoemde "kritiek lek" is dat m.i. niet
echt, maar een drietal mogelijke remote code execution bugs
zijn dat wel. Dit is geen update om over te slaan.
Naast de door Peter V. genomende page kun je FF 1.03 in elke
beschikbare taal ook hier downloaden:
http://ftp.mozilla.org/pub/mozilla.org/firefox/releases/1.0.3/
Bovendien staan hier ook PGP/GPG digital signature files
(met .asc extensie). Als je GnuPG (of PGP) hebt
geinstalleerd kun je daarmee de integriteit van downloads
controleren. Beschik je niet over die tools, dan staan in
genoemde page de tekst bestanden MD5SUMS en SHA1SUMS met
checksums (hashes) van alle belangrijke downloads.
Ten slotte, exe files die je hier downloadt (maar ook via de
pagina's die Peter V. en redactie noemen), kun je, voordat
je ze start natuurlijk, checken op een geldige digitale
handtekening door met de rechter muistoets op de exe file te
clicken en eigenschappen te kiezen (properties). Via het
tabblad "digitale handtekening" valt te controleren of er,
na publicatie, niet met het bestand is gerommeld. Ontbreekt
dit tabblad, klopt de handtekening niet of is deze
niet geplaatst door "Mozilla Foundation", start de exe dan
niet. Overigens werd, toen ik deze check uitvoerde,
een verbinding gemaakt met crl.verisign.com; Windows
controleerde op dat moment of het door de ondertekenaar
gebruikte certificaat ondertussen niet was "revoked"
(ingetrokken).
Waarom zijn deze integriteit checks belangrijk? Alleen al
omdat je geen idee hebt vanaf welke mirror-site de
daadwerkelijke download plaatsvindt (deze rouleren; doe maar
eens een nslookup van ftp.mozilla.org, die zo te zien voor
alle downloads gebruikt wordt). Hoewel deze sites
ongetwijfeld met zorg gekozen zijn, kun je nooit volledig
uitsluiten dat je een trojaned binary ophaalt vanaf een
achteraf gecompromitteerde site, of een site waarvan een
beheerder kwaadwillend blijkt te zijn.
Het kan zijn dat sommige plugins/uitbreidingen niet goed
meer werken met versie 1.0.3, maar auteurs repareren dit
vaak snel, zoals hier te zien is:
http://mozmonkey.com/copyplaintext/ (of e.e.a.
goed gerepareerd is weet ik niet, want ik heb zelf geen
enkele plugin geinstalleerd).
Ik ben het met Anoniem hierboven eens dat er naar m'n zin te
veel bugs in Firefox zitten. Op m'n Win98 systeem is een
update snel gebeurd, maar op andere moet ik eerst als admin
inloggen, en vervolgens code draaien die ik net van internet
gedownload heb. Behalve dat dit tijdrovend is, vormt het
gewoon een extra security risico. Digitale handtekeningen
helpen, maar hoe weet ik zeker dat geen enkele Firefox
programmeur door een spammer o.i.d. is omgekocht? Temeer
daar er geen beter alternatief is, krijgen ze voorlopig nog
het voordeel van de twijfel.
Ik ben het niet eens met de vergelijking met IE die
Anoniem maakt. Zeker als je geen XPSP2 draait is IE6 rijp
voor de prullenbak (MS is daar zelf ondertussen ook wel achter).
Erik van Straten
echt, maar een drietal mogelijke remote code execution bugs
zijn dat wel. Dit is geen update om over te slaan.
Naast de door Peter V. genomende page kun je FF 1.03 in elke
beschikbare taal ook hier downloaden:
http://ftp.mozilla.org/pub/mozilla.org/firefox/releases/1.0.3/
Bovendien staan hier ook PGP/GPG digital signature files
(met .asc extensie). Als je GnuPG (of PGP) hebt
geinstalleerd kun je daarmee de integriteit van downloads
controleren. Beschik je niet over die tools, dan staan in
genoemde page de tekst bestanden MD5SUMS en SHA1SUMS met
checksums (hashes) van alle belangrijke downloads.
Ten slotte, exe files die je hier downloadt (maar ook via de
pagina's die Peter V. en redactie noemen), kun je, voordat
je ze start natuurlijk, checken op een geldige digitale
handtekening door met de rechter muistoets op de exe file te
clicken en eigenschappen te kiezen (properties). Via het
tabblad "digitale handtekening" valt te controleren of er,
na publicatie, niet met het bestand is gerommeld. Ontbreekt
dit tabblad, klopt de handtekening niet of is deze
niet geplaatst door "Mozilla Foundation", start de exe dan
niet. Overigens werd, toen ik deze check uitvoerde,
een verbinding gemaakt met crl.verisign.com; Windows
controleerde op dat moment of het door de ondertekenaar
gebruikte certificaat ondertussen niet was "revoked"
(ingetrokken).
Waarom zijn deze integriteit checks belangrijk? Alleen al
omdat je geen idee hebt vanaf welke mirror-site de
daadwerkelijke download plaatsvindt (deze rouleren; doe maar
eens een nslookup van ftp.mozilla.org, die zo te zien voor
alle downloads gebruikt wordt). Hoewel deze sites
ongetwijfeld met zorg gekozen zijn, kun je nooit volledig
uitsluiten dat je een trojaned binary ophaalt vanaf een
achteraf gecompromitteerde site, of een site waarvan een
beheerder kwaadwillend blijkt te zijn.
Het kan zijn dat sommige plugins/uitbreidingen niet goed
meer werken met versie 1.0.3, maar auteurs repareren dit
vaak snel, zoals hier te zien is:
http://mozmonkey.com/copyplaintext/ (of e.e.a.
goed gerepareerd is weet ik niet, want ik heb zelf geen
enkele plugin geinstalleerd).
Ik ben het met Anoniem hierboven eens dat er naar m'n zin te
veel bugs in Firefox zitten. Op m'n Win98 systeem is een
update snel gebeurd, maar op andere moet ik eerst als admin
inloggen, en vervolgens code draaien die ik net van internet
gedownload heb. Behalve dat dit tijdrovend is, vormt het
gewoon een extra security risico. Digitale handtekeningen
helpen, maar hoe weet ik zeker dat geen enkele Firefox
programmeur door een spammer o.i.d. is omgekocht? Temeer
daar er geen beter alternatief is, krijgen ze voorlopig nog
het voordeel van de twijfel.
Ik ben het niet eens met de vergelijking met IE die
Anoniem maakt. Zeker als je geen XPSP2 draait is IE6 rijp
voor de prullenbak (MS is daar zelf ondertussen ook wel achter).
Erik van Straten
17-04-2005, 22:20 door
Rene V
Erik, je antwoorden zijn altijd zo ontzettend lang dat ik
iig nooit de moeite neem om het door te lezen ;-)
@Anoniem van 20:44: Dan ga je toch lekker terug naar IE als
dat je een beter gevoel geeft. Niemand verplicht je om de
veel betere FireFox te gebruiken toch? En wat zijn nu 2
weken op 6 maanden? (ja, denk daar maar even over na). :-)
iig nooit de moeite neem om het door te lezen ;-)
@Anoniem van 20:44: Dan ga je toch lekker terug naar IE als
dat je een beter gevoel geeft. Niemand verplicht je om de
veel betere FireFox te gebruiken toch? En wat zijn nu 2
weken op 6 maanden? (ja, denk daar maar even over na). :-)
17-04-2005, 23:15 door
G-Force
Een goede aanvulling van Erik.
ik gebruik ja mozilla firefox, maar geloof nee meer in die
44 miljoen downloads, dit is onderhand de 4e geloof ik ;)
44 miljoen downloads, dit is onderhand de 4e geloof ik ;)
Door Erik van Straten
Op m'n Win98 systeem is een update snel gebeurd, maar op
andere moet ik eerst als admin inloggen, en vervolgens code
draaien die ik net van internet gedownload heb. Behalve dat
dit tijdrovend is, vormt het gewoon een extra security risico.
Erik van Straten
Op m'n Win98 systeem is een update snel gebeurd, maar op
andere moet ik eerst als admin inloggen, en vervolgens code
draaien die ik net van internet gedownload heb. Behalve dat
dit tijdrovend is, vormt het gewoon een extra security risico.
Erik van Straten
Dat is een probleem van het packagemanagement op windows. De
installer is een door de leverancier meegeleverde binary die
dus met adminrechten moet draaien.
Onder *NIX is de packagemanager een door de leverancier
meegeleverd programma. En dat is een vertrouwde binary, en
het enige wat ie doet is files op de juiste plek neerzetten.
18-04-2005, 19:21 door
Bitwiper
Op maandag 18 april 2005 06:43 schreef Anoniem, over het als
admin moeten installeren:
> Dat is een probleem van het packagemanagement
> op windows. De installer is een door de leverancier
> meegeleverde binary die dus met adminrechten
> moet draaien.
Ja en nee. Ik kan Firefox ook als gewone user in een subdir
installeren waar ik wel schrijfrechten heb, maar ik doe dat
bewust niet. Op systemen die dit ondersteunen (niet W9X dus)
probeer ik het aantal binaries waarop gewone users
schijfrechten hebben tot een minimum te beperken, zeker die
binaries die ook door andere gebruikers (waaronder admin)
gestart kunnen worden.
Hoewel ik er zelf nauwelijks ervaring mee heb kun je met MSI
wel "managed installations" maken die met "elevated
privileges" verlopen, meestal door deze op een server te
adverteren.
Als het goed is (!) kunnen, ook onder unix, ordinary users
nooit zomaar pakketten van internet downloaden en system
global met admin privileges installeren; daar zul je als
admin hopelijk eerst "toestemming" voor moeten geven (al was
het maar om te voorkomen dat schijven vollopen, users van
voorgeschreven fileformats afwijken, of licenties aan hun
laars lappen - maar ik kan meer redenen bedenken). Alleen
zinvol in bedrijfsnetwerken lijkt me.
Erik van Straten
admin moeten installeren:
> Dat is een probleem van het packagemanagement
> op windows. De installer is een door de leverancier
> meegeleverde binary die dus met adminrechten
> moet draaien.
Ja en nee. Ik kan Firefox ook als gewone user in een subdir
installeren waar ik wel schrijfrechten heb, maar ik doe dat
bewust niet. Op systemen die dit ondersteunen (niet W9X dus)
probeer ik het aantal binaries waarop gewone users
schijfrechten hebben tot een minimum te beperken, zeker die
binaries die ook door andere gebruikers (waaronder admin)
gestart kunnen worden.
Hoewel ik er zelf nauwelijks ervaring mee heb kun je met MSI
wel "managed installations" maken die met "elevated
privileges" verlopen, meestal door deze op een server te
adverteren.
Als het goed is (!) kunnen, ook onder unix, ordinary users
nooit zomaar pakketten van internet downloaden en system
global met admin privileges installeren; daar zul je als
admin hopelijk eerst "toestemming" voor moeten geven (al was
het maar om te voorkomen dat schijven vollopen, users van
voorgeschreven fileformats afwijken, of licenties aan hun
laars lappen - maar ik kan meer redenen bedenken). Alleen
zinvol in bedrijfsnetwerken lijkt me.
Erik van Straten
Reageren
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
