Nieuws

"Stille Firefox update backdoor voor hackers"

dinsdag 22 november 2011, 12:41 door Redactie, 10 reacties

Vanaf Firefox 10 zal Mozilla nieuwe updates automatisch en zonder waarschuwing aan de gebruiker installeren, wat een ernstig beveiligingsrisico is. "Dat je software stilletjes in de achtergrond wordt geüpdatet, waarschijnlijk op een modulaire codebasis, is niet iets dat alle IT-security professionals zullen verwelkomen", zegt Philip Lieberman.

Hij merkt op dat het automatisch updaten van software voordelen kan hebben, maar dat de gebruiker wel moet weten wat er gebeurt. "Hackers zullen het Firefox background updating systeem reverse engineeren, en vergeet niet dat we het hier over open source software hebben, het is slechts een kwestie van tijd voordat het auto-updating mechanisme wordt gebruikt voor het injecteren van malware", gaat Lieberman verder.

Open source
Deze week wordt tijdens de MalCon 2012 conferentie een Windows 8 rootkit gedemonstreerd. "Met een Windows 8 bootkit in het achterhoofd, hoef je geen genie te zijn om te beseffen dat het omzeilen van een background updater voor een open source programma zoals Firefox 10, niet al te lastig is."

Lieberman verwacht dat veel IT-security professionals alarm zullen slaan over het stil updaten van Firefox. "En voor een goede reden, want dit is een recept voor een hackeraanval in de achtergrond."

Stuxnet verdacht van explosie op Iraanse legerbasis

Helft straatroven gericht op mobiele telefoons

Reacties (10)

22-11-2011, 12:51 door Anoniem

En de manier is er al..

22-11-2011, 14:06 door Anoniem

Google Chrome update ook in de achtergrond, dus wat is daar dan het probleem? ;)

22-11-2011, 14:20 door spatieman

worden addons ook meteen mee gepatchd zodat ze werken, nee, natuurlijk niet..
fail dus..

22-11-2011, 14:44 door Anoniem

Raar nieuws dit. Is Windows Update nu ook een backdoor voor hackers? En wat 'Open Source' er nu exact mee te maken heeft ontgaat me al evenzo. Closed source kan niet geanalyseerd worden. Of is meneer Lieberman een ferme gelover van de 'security by obscurity' school?

Ik ben geen fan van stille updates in de achtergrond, maar dit nieuws is wat mij betreft onzin.

22-11-2011, 14:58 door Anoniem

Door Anoniem: Google Chrome update ook in de achtergrond, dus wat is daar dan het probleem? ;)

Hetzelfde probleem... extra beveiligingen rondom de browser, zoals een sandbox maken het natuurlijk wel moeilijker, maar dus ook de uitdaging voor sommigen ook groter.

22-11-2011, 16:03 door Anoniem

alsjeblieft zeg, niemand doet moeilijk als chrome iets doet, maar als firefox het doet, oeh! dan is het opeens een ramp!

22-11-2011, 20:30 door Anoniem

"Hij merkt op dat het automatisch updaten van software voordelen kan hebben, maar dat de gebruiker wel moet weten wat er gebeurt."
Wat hypocriet zeg. Google Chrome doet het al weet ik hoe lang en nu Mozilla Firefox het wil gaan implementeren is het in één keer een veiligheidsrisico...
Ik ben geen voorstander van automatisch. Ik zou wel direct een popup willen waarbij wordt aangegeven dat er een update is,

22-11-2011, 21:58 door Anoniem

Door spatieman: worden addons ook meteen mee gepatchd zodat ze werken, nee, natuurlijk niet..
fail dus..

Voor de addons verandert er toch niets? Net zoals nu ook al het geval is worden addons volledig op de achtergrond bijgewerkt.

Als je nu een firefox update installeert als hij een melding geeft (nu) of als hij dit vanzelf volledig in de achtergrond doet (vanaf firefox 10) verandert er niets voor je addons.

23-11-2011, 00:24 door Anoniem

Chrome doet het al jaren en Chrome is gebaseerd op Chromium een heel open open source project.

Het is een non-argument.

23-11-2011, 09:20 door Mysterio

Door Anoniem: alsjeblieft zeg, niemand doet moeilijk als chrome iets doet, maar als firefox het doet, oeh! dan is het opeens een ramp!

Ik snap de ophef wel een beetje. Goed, het doet wat overdreven aan... Firefox is natuurlijk geen Chrome en geen IE. Firefox gaat echter wel steeds meer op Chrome lijken. Omdat Firefox toch een andere doelgroep en fanclub heeft dan Chrome is het niet gek dat deze mensen niet blij zijn met de nieuwe Firefox.

Firefox is een browser voor mensen die van prutsen aan hun browser houden en die houden van weten wat er gebeurd. Mozilla kijkt te veel naar Chrome en probeert door op Chrome te lijken net wat meer mensen over te kunnen halen om Firefox te gebruiken. De huidige gebruikers blijven toch wel. Maar ik, een gebruiker sinds het eerste begin, vind het niet zo leuk om te zien hoe veel gedoe het elke keer is met mij add-ons! Ik weet dat het automatisch updaten uit te zetten is, maar hallo! Firefox gebruikers zijn mensen die bewust gekozen hebben voor een browser, voor die browser.

Dus zonder hypocriet te roepen dat Mozilla Firefox onveilig maakt of zo, roep ik dat ik het niet leuk vind dat Firefox een Chrome kloon wordt.

Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Bitcoin:

Vacature

Junior DevOps Engineer

Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?

Lees meer

Vacature

Cybersecurity Trainer / Streamer

Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.

Lees meer

Ik moet ineens mijn portret in mijn Office 365 account stoppen, mag dat?

13-11-2024 door Arnoud Engelfriet

Juridische vraag: Ik werk in de publieke sector bij een organisatie die tussen 500-1000 medewerkers heeft. Vandaag werden wij ...

33 reacties

Lees meer