image

Microsoft: Mozilla patcht ook stiekem Firefox-lekken

vrijdag 6 februari 2009, 11:16 door Redactie, 28 reacties

Mozilla beweert dat het elk gevonden beveiligingslek in Firefox apart telt en dat het niet stiekem problemen verhelpt, iets wat Microsoft wel zou doen. Reden genoeg voor Microsoft beveiligingsstrateeg Jeff Jones om de cijfers er eens bij te pakken. Analyse van de NVD database met lekken laat zien dat 44 kwetsbaarheden in Firefox niet in de advisories van Mozilla zijn terug te vinden. Jones vraagt zich ook af of de lekken gepatcht zullen worden, aangezien de meeste meer dan een jaar oud zijn, wat weer nadelig voor de tabel is die laat zien hoeveel dagen Firefox gebruikers risico lopen.

Eind 2007 kwam Mozilla's Mike Shaver met de quote: "Het is bekend dat Microsoft release notes voor service packs aanpast en patches bundelt, wat betekent dat je soms één gepatcht lek hebt, terwijl er zeven problemen zijn verholpen." Weer besloot Jones de database met beveiligingslekken te raadplegen en ontdekte dat ook de opensource ontwikkelaar meerdere problemen met één patch oplost.

Stiekem
Als laatste kijkt Jones of Mozilla zich schuldig maakt aan het stiekem patchen van kwetsbaarheden. Hij verdeelde de Firefox-lekken per niet meer ondersteunde versie. Het gaat om lekken die volgens de database van Mozilla nooit gepatcht zijn. "Wat is er dus met deze lekken gebeurt?" vraagt Jones zich af. Hij verwacht geen patches aangezien de versies niet meer ondersteund worden, maar de gebruikte code is waarschijnlijk wel in de nieuwe versie aanwezig. Dat levert drie mogelijke scenario's op. De code is niet in de nieuwe versie aanwezig en mogelijk vervangen, wat nog steeds een fix zou zijn. Het lek is stiekem gepatcht, waar Jones ook een mogelijk voorbeeld van heeft. Of de kwetsbaarheid is nog steeds aanwezig, waar ook enkele mogelijke voorbeelden van zijn.

"Voor de punten die ik onderzocht, spreken de resultaten voor zichzelf. Hoewel het klopt dat je alleen maar kunt zien wat de ontwikkelaar wil dat je ziet, geldt ook voor Mozilla, dat ondanks de stoere taal, zo te zien meerdere problemen bij elkaar bundelt en stiekem lekken patcht als dat het ontwikkelproces uitkomt."

Persoonlijke aanvallen
Steeds meer mensen in dienst van Microsoft beginnen de persoonlijke aanvallen, en die op de softwaregigant zelf, zat te worden. Vanwege de eerdere onderzoeken naar de beweringen van Mozilla ontving Jones niet al te vriendelijke e-mails en reacties. "Mensen kunnen klaarblijkelijk alles over Microsoft of mij zelf zeggen, me een trol noemen, mijn motieven en afkomst in twijfel te trekken, me een leugenaar noemen, wat dan ook, maar als ik durf te twijfelen aan een niet gefundeerde marketingclaim van anderen, dan ga ik opeens over de schreef."

Reacties (28)
06-02-2009, 11:22 door Anoniem
Zou die man aan het eind van zijn leven niet denken: had ik niet wat meer van mijn leven kunnen maken dan het te besteden aan het tellen van lekken in Firefox?
06-02-2009, 11:27 door Anoniem
Troll ! ;)
06-02-2009, 11:30 door [Account Verwijderd]
[Verwijderd]
06-02-2009, 11:36 door Anoniem
Het is volkomen terecht dat er gereageerd wordt op "...aan een niet gefundeerde marketingclaim van anderen...". Echter, dit zou niet moeten gebeuren door het bedrijf welke laks heeft aan alle wet- en regelgeving, andermans ideeen pikt en vervolgens claimt dat het een Microsoft-idee is, deze zelf erg buggy implementeert en dmv "desktop-OS-monopolie" (is dit een woord?:-)) anderen probeert uit de markt te werken. Dit hele bedrijf is compleet unfair, het is te hopen dat Neelie dit bedrijf nog veel harder gaat aanpakken.

De op- en aanmerkingen richting Microsoft zijn veelal terecht, en voor die paar onterechte opmerkingen zou het beter zijn als ze hier niet op reageren, maar zich op zichzelf concentreren en een goed product proberen te maken.

Volkomen ongepast dat Microsoft nu ook nog zichzelf in een slachtofferrol probeert te positioneren.

Groeten,
Hopsa.
06-02-2009, 11:40 door Anoniem
Mozilla is eigenwijs net zo eigenwijs als Microsoft! Bijden wil niet eens luisteren naar je! Ik vraag af of Mozilla ooit een optie maakt om download kunnen uitschakelen, en de plugin functie. Nergens in firefox kan je in menu deze functie uitschakelen. In Windows Live Mail kan ik geen snelkoppeling maken naar bureablad om direct naar mijn agenda gaan. Microsoft ziet er geen heil in om Windows Live Calendra los kopelen van WIndows Live Mail.
06-02-2009, 11:41 door Anoniem
Net of je geld bij Microsoft zo goed besteed is. RTFEULA; no cure guaranteed, pay nevertheless!
06-02-2009, 11:55 door Anoniem
Door DuckmanAch je kan proberen iets goed te maken en dat laten zien. Of je kan proberen te laten zien dat andere producten net zo slecht zijn als jou eigen. MS is een marketing bedrijf die ook iets met software doet dus kiezen ze voor het laatste

Of je hebt van fouten in het verleden geleerd en een proces gestart om je leven te beteren. Maar je wordt nog steeds voor rotte vis uitgemaakt. Dat gevoel hebben ze blijkbaar bij MS. Hoe zou je jezelf voelen, wanneer je ooit bent aangehouden omdat je 5 km te hard reed en vervolgens elke keer bij een controle aan de kant moet om te kijken of je misschien weer iets fout doet? Dat gevoel zullen MS programmeurs hebben, die nog niet zolang daar werken en alles doen om de boel veilig te bouwen.

Daarnaast, schrijf eens (met de hand en pen) een encyclopedie over en tel naderhand alle fouten. Geheid dat dit er veel meer zijn dan je wil.
06-02-2009, 12:20 door Anoniem
Ik neem Jones na dit helemaal niet meer serieus en dit is dan ook het laatste wat ik nog over hem wil duidelijk maken.

Meneer vergeet weer eens een paar zaken bij zijn pot-verwijt-ketel actie, en dat is dus niet voor de eerste keer. Jones kan een flink aantal CVE nummers niet terug vinden bij Mozilla documentatie. Ja, vervelend, maar dat wil niet zeggen dat de problemen niet zijn opgelost. Vervelender nog, meneer is vergeten dat na te gaan door wat verder in de documentatie te kijken. Ik moet hem gelijk geven dat inderdaad niet alles een goede melding krijgt, maar nagenoeg alles is aangegeven. Wat betreft de Linux distributies worden deze veiligheidbugs zelfs voor zover ik kan nagaan wel genoemd. Dan is er nog het punt dat hij nog steeds issues meeneemt die niet als securitybug worden aangemerkt maar wel een CVE hebben gekregen. Hij kan dus niet claimen dat hij die er goed uitgelaten heeft in de vergelijking. Ook zitten er bugs tussen waarvan af te vragen valt of het wel security issues zijn: het crashen van de browser doordat iemand een pagina bekijkt. Na opstarten werkt alles prima en er is geen mogelijkheid om code op het systeem uit te laten voeren door de eigenaar van die foute pagina. En dan nog een belangrijk punt: Jones laat buiten beschouwing dat een aantal van die securitybugs in niet-ondersteunde versies zijn gevonden, toen er al lang en breed nieuwe versies waren uitgegeven. Natuurlijk, de aanpassingen in de code waardoor een security bug is geelimineerd zou dan het vermelden waard moeten zijn. Maar Jones weet ook heel goed dat ontwikkelaars zowel perongeluk beveiligingsfouten maken als dat ze die perongeluk kunnen oplossen zonder het door te hebben.
06-02-2009, 12:33 door Anoniem
Door Anoniem
Door DuckmanAch je kan proberen iets goed te maken en dat laten zien. Of je kan proberen te laten zien dat andere producten net zo slecht zijn als jou eigen. MS is een marketing bedrijf die ook iets met software doet dus kiezen ze voor het laatste

Of je hebt van fouten in het verleden geleerd en een proces gestart om je leven te beteren. Maar je wordt nog steeds voor rotte vis uitgemaakt. Dat gevoel hebben ze blijkbaar bij MS. Hoe zou je jezelf voelen, wanneer je ooit bent aangehouden omdat je 5 km te hard reed en vervolgens elke keer bij een controle aan de kant moet om te kijken of je misschien weer iets fout doet? Dat gevoel zullen MS programmeurs hebben, die nog niet zolang daar werken en alles doen om de boel veilig te bouwen.

Daarnaast, schrijf eens (met de hand en pen) een encyclopedie over en tel naderhand alle fouten. Geheid dat dit er veel meer zijn dan je wil.

Dit zou ergens op slaan, mits Microsoft daadwerkelijk haar leven zou beteren. Voorlopig negeren ze nog vrolijk alllerelei W3C standaarden. Ook allerlei open formaten proberen ze nog steeds uit te bannen om hun eigen proprietaire formaten te pushen. Eerst maar eens het boetekleed aan.
06-02-2009, 12:46 door Anoniem
Ehhm deze mijnheer is beveiligingsstrateeg.... Zou hij zich niet beter bezig kunnen houden met het verbeteren van de beveilinging van MS producten en dit soort "kleuterschool" geneuzel over kunnen laten aan de marketing afdeling van MS..?
06-02-2009, 13:02 door Anoniem
Ik hoop dat die kansloze figuur Jones geld moet betalen om dat werk te verrichten.
06-02-2009, 13:14 door dim
http://hg.mozilla.org/ <-- hier is helemaal niets stiekems aan, heeft Microsoft ook zoiets publiek toegankelijk voor Internet Exploder? :)
06-02-2009, 13:18 door Eerde
@Vandaag, 12:20 door Anoniem
Hear, hear !

JJ is de afgelopen jaren door de open source gemeenschap al enkele malen onderuit gehaald door zijn tellingen en methoden met een scalpel te ontleden.
Nu is hij de clown van het Internet geworden en spartelt nog wat rond, maar niemand neemt hem nog serieus.
06-02-2009, 13:20 door Anoniem
Door AnoniemMozilla is eigenwijs net zo eigenwijs als Microsoft! Bijden wil niet eens luisteren naar je! Ik vraag af of Mozilla ooit een optie maakt om download kunnen uitschakelen, en de plugin functie. Nergens in firefox kan je in menu deze functie uitschakelen. In Windows Live Mail kan ik geen snelkoppeling maken naar bureablad om direct naar mijn agenda gaan. Microsoft ziet er geen heil in om Windows Live Calendra los kopelen van WIndows Live Mail.

Dat eerste lijkt me vrij makkelijk zelf te maken met een extension. Het tweede zou waarschijnlijk in mozilla zelf gebouwd moeten worden, maar klinkt eigenlijk ook niet al te moeilijk. De bron is immers beschikbaar. Als iemand met een nette patch aan komt zie ik niet in waarom ze die zouden weigeren.

trouwens, ik weet niet waar je het voor wil, maar een kiosk extension (die het os onbereikbaar maakt en de settings onbenaderbaar) klinkt al alsof het erg in de buurt komt van je eisen (bijv https://addons.mozilla.org/en-US/firefox/addon/509)
06-02-2009, 13:56 door Anoniem
D
Door Anoniem
Door AnoniemMozilla is eigenwijs net zo eigenwijs als Microsoft! Bijden wil niet eens luisteren naar je! Ik vraag af of Mozilla ooit een optie maakt om download kunnen uitschakelen, en de plugin functie. Nergens in firefox kan je in menu deze functie uitschakelen. In Windows Live Mail kan ik geen snelkoppeling maken naar bureablad om direct naar mijn agenda gaan. Microsoft ziet er geen heil in om Windows Live Calendra los kopelen van WIndows Live Mail.

Dat eerste lijkt me vrij makkelijk zelf te maken met een extension. Het tweede zou waarschijnlijk in mozilla zelf gebouwd moeten worden, maar klinkt eigenlijk ook niet al te moeilijk. De bron is immers beschikbaar. Als iemand met een nette patch aan komt zie ik niet in waarom ze die zouden weigeren.

trouwens, ik weet niet waar je het voor wil, maar een kiosk extension (die het os onbereikbaar maakt en de settings onbenaderbaar) klinkt al alsof het erg in de buurt komt van je eisen (bijv https://addons.mozilla.org/en-US/firefox/addon/509)

Bedankt voor de tip, met Open Kiosk 2.13 kan je download uitschakelen. Ik heb zelf al de in Program files\Mozilla firefox\components\ XPinstall.dll verwijderd. Nu zijn de Plugin uitgeschakeld. Ook aanrader is TOR
https://addons.mozilla.org/en-US/firefox/addon/2275
jeroen
06-02-2009, 14:26 door Clockwork
Door Anoniem
Door Anoniem
Door DuckmanAch je kan proberen iets goed te maken en dat laten zien. Of je kan proberen te laten zien dat andere producten net zo slecht zijn als jou eigen. MS is een marketing bedrijf die ook iets met software doet dus kiezen ze voor het laatste

Of je hebt van fouten in het verleden geleerd en een proces gestart om je leven te beteren. Maar je wordt nog steeds voor rotte vis uitgemaakt. Dat gevoel hebben ze blijkbaar bij MS. Hoe zou je jezelf voelen, wanneer je ooit bent aangehouden omdat je 5 km te hard reed en vervolgens elke keer bij een controle aan de kant moet om te kijken of je misschien weer iets fout doet? Dat gevoel zullen MS programmeurs hebben, die nog niet zolang daar werken en alles doen om de boel veilig te bouwen.

Daarnaast, schrijf eens (met de hand en pen) een encyclopedie over en tel naderhand alle fouten. Geheid dat dit er veel meer zijn dan je wil.

Dit zou ergens op slaan, mits Microsoft daadwerkelijk haar leven zou beteren. Voorlopig negeren ze nog vrolijk alllerelei W3C standaarden. Ook allerlei open formaten proberen ze nog steeds uit te bannen om hun eigen proprietaire formaten te pushen. Eerst maar eens het boetekleed aan.
En weer zijn de oogkleppen van stal gehaald. De enige die allerlei W3C-standaarden aan zijn laars lapt, is Mozilla. Kijk maar eens op https://developer.mozilla.org/En/CSS_Reference:Mozilla_Extensions.

Verder wordt het zo langzamerhand echt belachelijk, dat doorlopende gekanker op Microsoft. Ga nou ook eens naar anderen kijken, sukkels! Het lijkt hier godverdomme zo langzamerhand op een haatsite tegen Microsoft. Zielig gewoon. En volkomen ongeloofwaardig zo langzamerhand. Sukkels.
06-02-2009, 14:48 door Eerde
Clockwork ga sinasappeltje eten ! Straks krijg je de reliplisie achter je aan met dat gevloek.
06-02-2009, 14:52 door Anoniem
Bij sommige CVE's, tot zover ik dit ben nagegaan, staat een link naar de bug onder welk nummer deze bij bugzilla.mozilla.org bekend is en waar de status kan worden vernomen: fixed, disputed enzovoort. Waar in de NVD dergelijke rechtstreekse links naar bugzilla.mozilla.org ontbreken kost het wel enige moeite om de bug en daarmee dus de status ervan terug te vinden bij bugzilla.mozilla.org omdat men daar op hun beurt ook niet altijd refereert aan het CVE-nummer waaronder een bug bij de NVD bekend is.
Dit is zeker wat onhandig, de databases zouden beter op elkaar kunnen worden afgestemd.
06-02-2009, 15:06 door Anoniem
Door Clockwork
En weer zijn de oogkleppen van stal gehaald. De enige die allerlei W3C-standaarden aan zijn laars lapt, is Mozilla.
Dan controleren we dat toch gewoon even?
Hoofdpagina website Mozilla: [url=http://validator.w3.org/check?uri=http%3A%2F%2Fwww.mozilla.org%2F] geen fouten maar wel 1 waarschuwing[/url]
Hoofdpagina website Microsoft: [url=http://validator.w3.org/check?uri=http%3A%2F%2Fwww.microsoft.com%2F]176 fouten en 36 waarschuwingen[/url]
Hoofdpagina website IBM [url=http://validator.w3.org/check?uri=http%3A%2F%2Fwww.ibm.com%2F]geen fouten of waarschuwingen[/url]

Kijk maar eens op https://developer.mozilla.org/En/CSS_Reference:Mozilla_Extensions.
Wat wil je daarmee zeggen?
06-02-2009, 15:51 door Anoniem
beveiligingsstrateeg Jeff Jones ?! (LOL)
"Steeds meer mensen in dienst van Microsoft beginnen de persoonlijke aanvallen, en die op de softwaregigant zelf, zat te worden. "
Meneer Jones IS een Public Image strateeg; dit zijn marketing/spin-dokter acties.... !
06-02-2009, 16:38 door Anoniem
Door Clockwork

En weer zijn de oogkleppen van stal gehaald. De enige die allerlei W3C-standaarden aan zijn laars lapt, is Mozilla. Kijk maar eens op https://developer.mozilla.org/En/CSS_Reference:Mozilla_Extensions.

Dit gaat over toevoegingen, de standaarden worden gewoon op een juiste wijze ondersteund. In tegenstelling tot bijvoorbeeld Internet Explorer, waar sprake is van een eigen standaard ter vervanging, niet ter toevoeging. Oogkleppen?
06-02-2009, 16:54 door Anoniem
Door Clockwork

En weer zijn de oogkleppen van stal gehaald. De enige die allerlei W3C-standaarden aan zijn laars lapt, is Mozilla. Kijk maar eens op https://developer.mozilla.org/En/CSS_Reference:Mozilla_Extensions.

Zoals al eerder gezegd, dit zijn toevoegingen die aan de W3C zijn voorgesteld voor een toekomstige versie van CSS, zodat mensen al kunnen experimenteren met het gebruik ervan. Voor een algemene productiesite moet je ze natuurlijk niet gebruiken.

Daarnaast zijn ze niet allemaal voor webpagina's maar ook voor applicaties die XUL gebruiken, zoals firefox zelf, thunderbird, songbird, en alle extensies daarvan. De features die je daarvan wilt verschillen soms weer net van die voor web pagina's.
06-02-2009, 19:12 door Marti van Lin
T ja zowel Clockwork (alias, Lammaar, alias Nomen Nescio) als Jeff Jones bezorgen mij iedere keer weer een lach kick. Daar kan geen enkele drug tegen op :-)
06-02-2009, 19:20 door Marti van Lin
B.T.W. Mozilla patch helemaal stiekem geen lekken, op het moment dat er een update beschikbaar is, wordt de gebruiker hiervan op de hoogte gesteld. Als er updates voor plugins/extenties beschikbaar zijn, moet je zelfs handmatig bevestigen, of je deze updates al dan niet wilt installeren.

Conclusie: Jones kletst weer eens uit zijn nek (nothing new here, move on).

Ik begin zo onderhand het idee te krijgen dat je moet voldoen aan het criterium "mafkees", wil je überhaupt in aanmerking komen voor een functie bij The Vole.
06-02-2009, 19:45 door Anoniem
Hou oud is deze beste man eigelijk?
Het lijkt op heel erg kleuterachtig gedrag...
Lekker klikken...

Maar het heeft ook wel wat weg van iemand die niks beters te doen heeft, zoals hierboven al gezegd is zal deze man hier aan het eind van zijn leven ook echt trots op zijn?

Lijkt er erg veel op dat deze man een nieuwe hobby aan het zoeken is.
06-02-2009, 20:28 door Anoniem
Ik ga die Mozilla even verbouwen! als je kid's achter de computer kruipen dan slopen ze binnen de kortsten keren firefox en download een troja zodat Firofx zo de prullenbak in gaat en nooit meer werkt op jou pc. Plugin en download moet je buiten bereik laten van je kinderen, je vrouw en je zusje!
07-02-2009, 06:20 door Anoniem
Door Marti van Lin
Conclusie: Jones kletst weer eens uit zijn nek (nothing new here, move on).
Natuurlijk kun je het met hem oneens zijn, maar is het wel lastig om van sommige CVE's te achterhalen wat daar nu precies mee gebeurd is: dat lukt niet zoëven. Of men daar nu direct conclusies uit kan trekken, dat er bijvoorbeeld opzet in het spel zou zijn, er stiekem gepatcht zou worden en dergelijken is om het even. Ik heb het in ieder geval niet zoëven kunnen nagaan en dat zou wel degelijk een aandachtspunt kunnen zijn. Maar als je meer tijd dan ik zou hebben om van de door Jones genoemde CVE's de corresponderende status bij bugzilla.mozilla.org te zoeken, dan ben je daar vrij in en dan ben ik zeker ongeacht het resultaat benieuwd naar het resultaat.
07-02-2009, 23:44 door Anoniem
Hoe kun je iets "stiekem" doen in open source.
Jones valt wel heel erg door de mand. Microsoft KAn iets stiekem doen. Mozilla KAN NOOIT iets stiekem doen.

Zou Microsoft in paniek raken door het gestaag groeiende marktaandeel van Mozilla of is het slechts een persoonlijke actie van spin docter Jones?
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.