Vanaf Firefox 10 zal Mozilla nieuwe updates automatisch en zonder waarschuwing aan de gebruiker installeren, wat een ernstig beveiligingsrisico is. "Dat je software stilletjes in de achtergrond wordt geüpdatet, waarschijnlijk op een modulaire codebasis, is niet iets dat alle IT-security professionals zullen verwelkomen", zegt Philip Lieberman.
Hij merkt op dat het automatisch updaten van software voordelen kan hebben, maar dat de gebruiker wel moet weten wat er gebeurt. "Hackers zullen het Firefox background updating systeem reverse engineeren, en vergeet niet dat we het hier over open source software hebben, het is slechts een kwestie van tijd voordat het auto-updating mechanisme wordt gebruikt voor het injecteren van malware", gaat Lieberman verder.
Open source
Deze week wordt tijdens de MalCon 2012 conferentie een Windows 8 rootkit gedemonstreerd. "Met een Windows 8 bootkit in het achterhoofd, hoef je geen genie te zijn om te beseffen dat het omzeilen van een background updater voor een open source programma zoals Firefox 10, niet al te lastig is."
Lieberman verwacht dat veel IT-security professionals alarm zullen slaan over het stil updaten van Firefox. "En voor een goede reden, want dit is een recept voor een hackeraanval in de achtergrond."
Deze posting is gelocked. Reageren is niet meer mogelijk.