image

Mozilla dicht 15 lekken in Firefox 23

woensdag 7 augustus 2013, 09:37 door Redactie, 5 reacties

Mozilla heeft een nieuwe versie van Firefox uitgebracht waarin 15 beveiligingslekken zijn verholpen, waarvan vijf zo ernstig dat ze gebruikt kunnen worden om het onderliggende systeem over te nemen. Het gaat om verschillende geheugenproblemen en een probleem dat ontstaan bij het genereren van Certificate Request Message Format (CRMF) requests. Ook via een kwetsbaarheid in de Mozilla Maintenance Service en Mozilla Updater zou een aanvaller willekeurige code op de computer kunnen uitvoeren.

Mixed Content Blocker

Verder introduceert Firefox 23 ook een 'Mixed Content Blocker', die gebruikers beter tegen afluisteren moet beschermen. De browser blokkeert hiermee HTTP-content die op HTTPS-websites wordt getoond. Een aanvaller kan via een man-in-the-middle-aanval de HTTP-content onderscheppen om zo volledige toegang tot de website te krijgen die de content laadt.

De Mixed Content Blocker blokkeert standaard onveilige actieve content, om Firefox-gebruikers tegen dit soort aanvallen te beschermen. Mozilla merkt op dat er twee soorten Mixed Content zijn, namelijk Mixed Active Content, zoals scripts, en Mixed Passive Content, zoals afbeeldingen. Actieve content wordt als gevaarlijker beschouwd, omdat het het gedrag van de HTTPS-pagina kan aanpassen.

Updaten naar Firefox 23 kan via de browser zelf of Mozila.org. Naast Firefox is er ook een nieuwe versie van e-mailclient Thunderbird verschenen, waarin ook verschillende lekken zijn verholpen.

Reacties (5)
07-08-2013, 09:51 door wizzkizz
Wel heel vervelend is dat als een HTTPS webpagina je doorstuurt naar een HTTP pagina, die HTTP pagina ook wordt gezien als Mixed Content en alle actieve content (javascript etc.) wordt geblokkeerd. Als je bijvoorbeeld inlogt via een SSL beveiligd request en daarna doorgestuurd wordt naar een niet-beveiligde pagina, is die onbeveiligde pagina de eerste request helemaal fubar.

Tenminste, zo werkt het in versie 22 waar het als optie aanwezig was. Versie 23 nog niet kunnen testen.
07-08-2013, 11:56 door Anoniem
Sinds de vernieuwing van de site lukt het me met geen mogelijkheid om de inhoud van de artikelen op mijn desktop te krijgen, enkel titels en reacties. Ik draai FF22 op Macos10.6.8 en heb javascript en cookies enabled. Wat kan ik doen ? Wie helpt mij? ( Op deze vraag eerder gesteld bij het artikel over de vernieuwing, krijg ik geen antwoord, misschien omdat niemand meer dit 'oude' artikel leest )
07-08-2013, 12:48 door MI-10
En weet iemand of er al een sandbox is toegevoegd bij Firefox?
07-08-2013, 17:42 door vimes
@Anoniem 11:56: Doe eens een schone install van FF en gooi de cookies van security.nl eenmalig weg.
08-08-2013, 10:42 door Anoniem
@vimes

Bedankt voor je reactie! Alleen ....zoiets nog nooit gedaan en leek me nogal heftig. Vandaar eens geprobeerd in veilige modus op te starten en dan is alles oke. Dus dan ligt 't toch aan een extensie. Opvallend in veilige modus was dat een cookie van doubleclick.net geplaatst werd die anders nooit verschijnt. Heb toen m'n Adblock Plus eens uitgeschakeld voor deze site en ... ik kan de artikelen nu weer lezen.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.