image

Mozilla patcht veertien lekken in Firefox 2 & 3

woensdag 24 september 2008, 12:32 door Redactie, 22 reacties

De Mozilla stichting heeft veertien beveiligingslekken in de de verschillende versies van haar opensource browser Firefox gedicht. Firefox 2 kreeg de meeste updates te verduren, negen in totaal, voor lekken die in vier gevallen zo ernstig zijn dat een aanvaller willekeurige code zou kunnen uitvoeren. De nieuwste editie van de browser doet het stukken beter en kent vijf kwetsbaarheden, waarvan twee ernstig. Updaten naar Firefox 2.0.0.17 of Firefox 3.0.2 kan via de Auto Update functie of Mozilla.com.

Reacties (22)
24-09-2008, 13:01 door Lamaar
Allemachtig! Alweer? Hoe lek is Firefox nou eigenlijk? En dan ook nog roepen dat het zo goed werkt? In heel Windows kom je niet zoveel lekken in één keer tegen.
24-09-2008, 13:22 door prikkebeen
Ach, wet je Lamaar. Firefox is als een lekke band. Er wordt met spoed een prop in geschoten. MS is een visnet waar het patchen onbegonnen werk is en hoelang je er op mag wachten voor er zelf maar een poging ondernomen wordt is ook dan en alleen wanneer het MS belieft.
Ik geef dan de voorkeur aan een lekke band..
24-09-2008, 13:54 door Anoniem
ja gelukkig ga ik gewoon het internet op zonder browser, heb je ook geen last van lekken. :)
24-09-2008, 14:15 door Eerde
M$ doet die patches stiekum....
Open source heeft het grote voordeel dat de source code open is en iedereen er naar kan kijken, iets dat ook veel gedaan wordt. Zo komen ook veel 'mogelijke lekken' aan het licht. Daardoor zie je veel patches bij open source, ergo ---> open source is veiliger !
Nu jij weer.... lamaar.
24-09-2008, 14:24 door Lamaar
Door prikkebeenAch, wet je Lamaar. Firefox is als een lekke band. Er wordt met spoed een prop in geschoten. MS is een visnet waar het patchen onbegonnen werk is en hoelang je er op mag wachten voor er zelf maar een poging ondernomen wordt is ook dan en alleen wanneer het MS belieft.
Ik geef dan de voorkeur aan een lekke band..
Nou, dan weet je toch niet waar je het over hebt, want als er iemand open is over patches, is het Microsoft wel. Dat lees je zelfs hier op security.nl. Dus je verhaaltje gaat niet op.
24-09-2008, 14:26 door Lamaar
Door EerdeM$ doet die patches stiekum....
Open source heeft het grote voordeel dat de source code open is en iedereen er naar kan kijken, iets dat ook veel gedaan wordt. Zo komen ook veel 'mogelijke lekken' aan het licht. Daardoor zie je veel patches bij open source, ergo ---> open source is veiliger !
Nu jij weer.... lamaar.
Over krom redeneren gesproken: hoe meer patches hoe veiliger? En je roept nou juist altijd dat er zoveel patches er bij Microsoft zijn, dus dat moet dan wel enorm veilig zijn. Jij wringt je in allerlei bochten om Microsoft maar zwart te kunnen maken. Jou neem ik al lang niet meer serieus.
24-09-2008, 14:28 door Eerde
@lamaar
Gelukkig begrijp je het niet ;)
24-09-2008, 16:09 door Anoniem
De hoeveel patches op software zegt alleen iets over hoeveel potentiele gevaren er afgewend zijn. Het zegt NIETS over hoeveel er nog onderwater zitten en mogelijk nog aan het licht komen. Noch van IE nog van Firefox noch van welk stuk software. Feit blijft dat als een bedrijf er openlijk over is dit iets zegt over hoe belangrijk veiligheid is voor dat bedrijf. Volgens mij zijn MS en FF daarin redelijk gelijk. Nogmaals, aantal uitgebrachte patches zegt niets over hoe slecht/goed een product.
24-09-2008, 16:11 door extranion
@lamaar

wat Eerde wil zeggen (denk ik) is dat er in open source de code toegankelijk is en dus ook sneller een oplossing voor mogelijke problemen.
In closed source gebeurt dat niet en kunnen bugs vaker onopgelost blijven terwijl ze wel bestaan.

probleem van de strijd wie heeft de meeste fouten, komt ook doordat fouten niet altijd gevonden worden.
24-09-2008, 16:18 door Anoniem
lamaar, laat maar !!!
Je probeert MS propaganda te slijten, dat is HIER (gelukkig) vechten tegen de bierkaai !

"Through lack of understanding they remained sane."
George Orwell, 1984
24-09-2008, 16:21 door Anoniem
4 lekken dus in 3.x, waarvan twee "critical" en twee " moderate". Daarenboven gebruik ik, naast Adblock Plus (& Element Hiding Helper) de NoScript addon, dus geef mij maar die lekke Fx...
24-09-2008, 16:45 door prikkebeen
Door Lamaar
Door prikkebeenAch, wet je Lamaar. Firefox is als een lekke band. Er wordt met spoed een prop in geschoten. MS is een visnet waar het patchen onbegonnen werk is en hoelang je er op mag wachten voor er zelf maar een poging ondernomen wordt is ook dan en alleen wanneer het MS belieft.
Ik geef dan de voorkeur aan een lekke band..
Nou, dan weet je toch niet waar je het over hebt, want als er iemand open is over patches, is het Microsoft wel. Dat lees je zelfs hier op security.nl. Dus je verhaaltje gaat niet op.

Het was een beetje sarcastisch bedoeld en dat begrijp jij niet zo te zien. Het gaat om de stiekeme patches die wel eens uitgevoerd worden. Zelfs meteen na een aangekondigde patch zitten er soms direct weer lekken in, zie Media Encoder. je mag dan weer wachten tot minimaal de volgende maand. Daarom liever die lekke band waar meteen wat aan gedaan wordt.
24-09-2008, 17:08 door Lamaar
Door extranion@lamaar

wat Eerde wil zeggen (denk ik) is dat er in open source de code toegankelijk is en dus ook sneller een oplossing voor mogelijke problemen.
In closed source gebeurt dat niet en kunnen bugs vaker onopgelost blijven terwijl ze wel bestaan.

probleem van de strijd wie heeft de meeste fouten, komt ook doordat fouten niet altijd gevonden worden.
Ik weet ook wel wat hij probeert te beweren, maar dat klopt niet met de feiten.
24-09-2008, 17:08 door Anoniem
Titel is misleidend het gaat om vijf veiligheidslekken in v3 en negen in v2
24-09-2008, 17:10 door Lamaar
Door prikkebeen
Door Lamaar
Door prikkebeenAch, wet je Lamaar. Firefox is als een lekke band. Er wordt met spoed een prop in geschoten. MS is een visnet waar het patchen onbegonnen werk is en hoelang je er op mag wachten voor er zelf maar een poging ondernomen wordt is ook dan en alleen wanneer het MS belieft.
Ik geef dan de voorkeur aan een lekke band..
Nou, dan weet je toch niet waar je het over hebt, want als er iemand open is over patches, is het Microsoft wel. Dat lees je zelfs hier op security.nl. Dus je verhaaltje gaat niet op.

Het was een beetje sarcastisch bedoeld en dat begrijp jij niet zo te zien. Het gaat om de stiekeme patches die wel eens uitgevoerd worden. Zelfs meteen na een aangekondigde patch zitten er soms direct weer lekken in, zie Media Encoder. je mag dan weer wachten tot minimaal de volgende maand. Daarom liever die lekke band waar meteen wat aan gedaan wordt.
Ik begrijp het beslist wel, maar jij en Eerde vergeten gemakshalve maar even die lekken die soms maanden onder de tafel bleven in Firefox, of het doodzwijgen van lekken door Apple. Microsoft meldt tenminste nog iets, Apple helemaal niet en Mozilla pas ze een oplossing hebben.
24-09-2008, 17:57 door Anoniem
Aan Lamaar, Eerde en anderen, die overwegen om hun manier van communiceren over te nemen:
waarom zijn jullie zo voorspelbaar? Wat een reflexmatig gedoe. Is dat nu werkelijk het beste dat uit jullie hersens kan komen? De naald blijft hangen in dezelfde groef - de sleet zit er intussen al lang op.
24-09-2008, 20:23 door Rene V
Door Lamaar
Ik begrijp het beslist wel, maar jij en Eerde vergeten gemakshalve maar even die lekken die soms maanden onder de tafel bleven in Firefox, of het doodzwijgen van lekken door Apple. Microsoft meldt tenminste nog iets, Apple helemaal niet en Mozilla pas ze een oplossing hebben.


Firefox lekken maanden onder water? Bron graag. Wil daar graag het bewijs van zien of je raaskalt maar wat.
Wat ik nog wel weet is bepaalde lekken in Windows die pas na anderhalf jaar gedicht werden door MS terwijl ze dat al die tijd al wisten. Maar daar hoor ik je niet over. Nee, als er maar gekankerd kan worden over open source zoals Firefox bijvoorbeeld, hmm? Je mag dus niets fouts zeggen over MS want dan ben je een MS hater, maar je mag wel iets zeggen over open source producten want dan ben je objectief. LOL! Jij en Nescio falen in epische proporties.

Wat nog veel zieliger is, is het feit dat ik je nog niet zo lang op het forum of op deze site zie. Niet zo lang als de meeste mensen hier. Vraag me af of dat is omdat Nescio het allemaal niet meer aankon en er een maatje bij moest hebben om zijn beweringen gestand te kunnen doen. Zo van, zie je? Er zijn ook mensen die het wel met mij eens zijn. Echt zielig.
24-09-2008, 20:24 door Anoniem
conclusie:
het aantal (gepubliceerde) lekken en de bijbehorende patches zegt niets over de veiligheid van bv. een browser...

net zomin als het ontbreken van (publicatie over) lekken en de bijbehorende patches iets zegt over de veiligheid...

beide gevallen kunnen beide kanten uit, het verzwijgen van een lek kan misbruik in de hand werken door gebrek aan maatregelen, maar kan evengoed ervoor zorgen dat het lek niet uitlekt en misbruikt kan worden tot er werkelijk een patch voor is.

het is redelijk normaal dat bijvoorbeeld de ontdekker van een exploit dit geheim houd om misbruik te voorkomen, zodat een bedrijf de tijd heeft het lek te dichten, en ik kan mij dat prima voorstellen, het niet publiceren van lekken, en het beperkt of geen info geven over patches betekend niet dat er niets aan de hand is, en betekend evenzogoed niet dat er niets aan gedaan word...

pas als er echt niets aan gedaan word terwijl een probleem wel bekend is, dan is er iets goed mis...
24-09-2008, 22:19 door Anoniem
Dit zijn zeer ernstige lekken. Er bestaat een kans dat uw browser crasht en/of dat er code wordt uitgevoerd met Chrome-rechten, d.w.z. met de rechten van de gebruiker.
Op het UTF-lek na zijn de lekken met rating Critical en High en een Moderate redelijk te voorkomen door geen Javascript toe te staan. Bijvoorbeeld met NoScript. Dat verkleint de kans op ellende een heel stuk.
Gelukkig hoeven Firefox-gebruikers niet lang onbeschermd te zijn door de zeer gebruiksvriendelijke manier van upgraden. Men hoeft de computer niet eens opnieuw te starten na een Firefox-upgrade! Ja mensen u leest het goed: UW BROWSER UPGRADEN ZONDER UW PC TE HERSTARTEN, HET KAN MET FIREFOX!
Het is jammer dat zo'n scan-site als http://bcheck.scanit.be/bcheck/ nog niet de laatste lekken kan testen.
In elk geval zijn de openstaande lekken in Firefox traditiegetrouw minder ernstig dan die in Internet Explorer (7).
24-09-2008, 23:43 door spatieman
boeie gewoon.
Dan updaten we toch gewoon weer...
25-09-2008, 07:40 door Zipper306
Houd dat nu nooit eens op, dat schoppen naar Mozilla en Microsoft ?

De Goolge Crome Browser en dat ding de Safari browser van Apple, die zijn pas echt goed en veilig, die jongen maken ten miste geen lekken bekend. Ze zijn dus volmaakt, want ze hebben geen lekken.
Dus deze twee laatsten moeten gewoon wel goed zijn.
25-09-2008, 07:51 door XM16E1
Google Crome Browser maakt geen lekken bekend? was dat sarcastisch of wat?
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.