"Stille Firefox update backdoor voor hackers"
Vanaf Firefox 10 zal Mozilla nieuwe updates automatisch en zonder waarschuwing aan de gebruiker installeren, wat een ernstig beveiligingsrisico is. "Dat je software stilletjes in de achtergrond wordt geüpdatet, waarschijnlijk op een modulaire codebasis, is niet iets dat alle IT-security professionals zullen verwelkomen", zegt Philip Lieberman.
Hij merkt op dat het automatisch updaten van software voordelen kan hebben, maar dat de gebruiker wel moet weten wat er gebeurt. "Hackers zullen het Firefox background updating systeem reverse engineeren, en vergeet niet dat we het hier over open source software hebben, het is slechts een kwestie van tijd voordat het auto-updating mechanisme wordt gebruikt voor het injecteren van malware", gaat Lieberman verder.
Open source
Deze week wordt tijdens de MalCon 2012 conferentie een Windows 8 rootkit gedemonstreerd. "Met een Windows 8 bootkit in het achterhoofd, hoef je geen genie te zijn om te beseffen dat het omzeilen van een background updater voor een open source programma zoals Firefox 10, niet al te lastig is."
Lieberman verwacht dat veel IT-security professionals alarm zullen slaan over het stil updaten van Firefox. "En voor een goede reden, want dit is een recept voor een hackeraanval in de achtergrond."
fail dus..
Ik ben geen fan van stille updates in de achtergrond, maar dit nieuws is wat mij betreft onzin.
Hetzelfde probleem... extra beveiligingen rondom de browser, zoals een sandbox maken het natuurlijk wel moeilijker, maar dus ook de uitdaging voor sommigen ook groter.
Wat hypocriet zeg. Google Chrome doet het al weet ik hoe lang en nu Mozilla Firefox het wil gaan implementeren is het in één keer een veiligheidsrisico...
Ik ben geen voorstander van automatisch. Ik zou wel direct een popup willen waarbij wordt aangegeven dat er een update is,
fail dus..
Als je nu een firefox update installeert als hij een melding geeft (nu) of als hij dit vanzelf volledig in de achtergrond doet (vanaf firefox 10) verandert er niets voor je addons.
Het is een non-argument.
Firefox is een browser voor mensen die van prutsen aan hun browser houden en die houden van weten wat er gebeurd. Mozilla kijkt te veel naar Chrome en probeert door op Chrome te lijken net wat meer mensen over te kunnen halen om Firefox te gebruiken. De huidige gebruikers blijven toch wel. Maar ik, een gebruiker sinds het eerste begin, vind het niet zo leuk om te zien hoe veel gedoe het elke keer is met mij add-ons! Ik weet dat het automatisch updaten uit te zetten is, maar hallo! Firefox gebruikers zijn mensen die bewust gekozen hebben voor een browser, voor die browser.
Dus zonder hypocriet te roepen dat Mozilla Firefox onveilig maakt of zo, roep ik dat ik het niet leuk vind dat Firefox een Chrome kloon wordt.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Specialiseer je in Forensisch ICT
Online informatieavond 19 november
Wil jij je specialiseren in digitaal forensisch onderzoek? Je kennis verbreden en tech-nische vaardigheden ontwikkelen? Ontdek de cursus- en opleidingsmogelijkheden van Hogeschool Leiden:
- Bachelor Informatica Forensisch ICT (deeltijd)
- Master Digital Forensics (vol- en deeltijd)
- Module Mobile Forensics
- Module Data Analytics
Interesse? Meld je aan!
Chief Information Security Officer
Utrecht heeft jou nodig! Als Chief Information Security Officer speel jij een cruciale rol in de bescherming van de digitale informatie van de gemeente Utrecht. Als geen ander weet jij welke dreigingen er zijn en kun je deze vertalen naar risico's die de gemeente en haar inwoners lopen. Solliciteer nu!
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
