image

"Stille Firefox update backdoor voor hackers"

dinsdag 22 november 2011, 12:41 door Redactie, 10 reacties

Vanaf Firefox 10 zal Mozilla nieuwe updates automatisch en zonder waarschuwing aan de gebruiker installeren, wat een ernstig beveiligingsrisico is. "Dat je software stilletjes in de achtergrond wordt geüpdatet, waarschijnlijk op een modulaire codebasis, is niet iets dat alle IT-security professionals zullen verwelkomen", zegt Philip Lieberman.

Hij merkt op dat het automatisch updaten van software voordelen kan hebben, maar dat de gebruiker wel moet weten wat er gebeurt. "Hackers zullen het Firefox background updating systeem reverse engineeren, en vergeet niet dat we het hier over open source software hebben, het is slechts een kwestie van tijd voordat het auto-updating mechanisme wordt gebruikt voor het injecteren van malware", gaat Lieberman verder.

Open source
Deze week wordt tijdens de MalCon 2012 conferentie een Windows 8 rootkit gedemonstreerd. "Met een Windows 8 bootkit in het achterhoofd, hoef je geen genie te zijn om te beseffen dat het omzeilen van een background updater voor een open source programma zoals Firefox 10, niet al te lastig is."

Lieberman verwacht dat veel IT-security professionals alarm zullen slaan over het stil updaten van Firefox. "En voor een goede reden, want dit is een recept voor een hackeraanval in de achtergrond."

Reacties (10)
22-11-2011, 12:51 door Anoniem
En de manier is er al..
22-11-2011, 14:06 door Anoniem
Google Chrome update ook in de achtergrond, dus wat is daar dan het probleem? ;)
22-11-2011, 14:20 door spatieman
worden addons ook meteen mee gepatchd zodat ze werken, nee, natuurlijk niet..
fail dus..
22-11-2011, 14:44 door Anoniem
Raar nieuws dit. Is Windows Update nu ook een backdoor voor hackers? En wat 'Open Source' er nu exact mee te maken heeft ontgaat me al evenzo. Closed source kan niet geanalyseerd worden. Of is meneer Lieberman een ferme gelover van de 'security by obscurity' school?

Ik ben geen fan van stille updates in de achtergrond, maar dit nieuws is wat mij betreft onzin.
22-11-2011, 14:58 door Anoniem
Door Anoniem: Google Chrome update ook in de achtergrond, dus wat is daar dan het probleem? ;)

Hetzelfde probleem... extra beveiligingen rondom de browser, zoals een sandbox maken het natuurlijk wel moeilijker, maar dus ook de uitdaging voor sommigen ook groter.
22-11-2011, 16:03 door Anoniem
alsjeblieft zeg, niemand doet moeilijk als chrome iets doet, maar als firefox het doet, oeh! dan is het opeens een ramp!
22-11-2011, 20:30 door Anoniem
"Hij merkt op dat het automatisch updaten van software voordelen kan hebben, maar dat de gebruiker wel moet weten wat er gebeurt."
Wat hypocriet zeg. Google Chrome doet het al weet ik hoe lang en nu Mozilla Firefox het wil gaan implementeren is het in één keer een veiligheidsrisico...
Ik ben geen voorstander van automatisch. Ik zou wel direct een popup willen waarbij wordt aangegeven dat er een update is,
22-11-2011, 21:58 door Anoniem
Door spatieman: worden addons ook meteen mee gepatchd zodat ze werken, nee, natuurlijk niet..
fail dus..
Voor de addons verandert er toch niets? Net zoals nu ook al het geval is worden addons volledig op de achtergrond bijgewerkt.

Als je nu een firefox update installeert als hij een melding geeft (nu) of als hij dit vanzelf volledig in de achtergrond doet (vanaf firefox 10) verandert er niets voor je addons.
23-11-2011, 00:24 door Anoniem
Chrome doet het al jaren en Chrome is gebaseerd op Chromium een heel open open source project.

Het is een non-argument.
23-11-2011, 09:20 door Mysterio
Door Anoniem: alsjeblieft zeg, niemand doet moeilijk als chrome iets doet, maar als firefox het doet, oeh! dan is het opeens een ramp!
Ik snap de ophef wel een beetje. Goed, het doet wat overdreven aan... Firefox is natuurlijk geen Chrome en geen IE. Firefox gaat echter wel steeds meer op Chrome lijken. Omdat Firefox toch een andere doelgroep en fanclub heeft dan Chrome is het niet gek dat deze mensen niet blij zijn met de nieuwe Firefox.

Firefox is een browser voor mensen die van prutsen aan hun browser houden en die houden van weten wat er gebeurd. Mozilla kijkt te veel naar Chrome en probeert door op Chrome te lijken net wat meer mensen over te kunnen halen om Firefox te gebruiken. De huidige gebruikers blijven toch wel. Maar ik, een gebruiker sinds het eerste begin, vind het niet zo leuk om te zien hoe veel gedoe het elke keer is met mij add-ons! Ik weet dat het automatisch updaten uit te zetten is, maar hallo! Firefox gebruikers zijn mensen die bewust gekozen hebben voor een browser, voor die browser.

Dus zonder hypocriet te roepen dat Mozilla Firefox onveilig maakt of zo, roep ik dat ik het niet leuk vind dat Firefox een Chrome kloon wordt.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.