Mozilla trekt Firefox 16 terug wegens beveiligingslek
Mozilla waarschuwt voor een beveiligingslek in Firefox 16 waardoor websites de surfgeschiedenis van gebruikers kunnen achterhalen. Firefox 16 verscheen gisteren en verhielp 24 beveiligingslekken, waarvan 21 zo ernstig dat een aanvaller het onderliggende systeem erdoor kan overnemen. Beveiligingsonderzoeker Gareth Heyes ontdekte dat het mogelijk is voor een gehackte of kwaadaardige website om te bepalen welke websites gebruikers eerder hebben bezocht.
Ook zou het mogelijk zijn om toegang tot de URL en URL-parameters te krijgen. Volgens Mozilla wordt het lek niet in het wild misbruikt, maar Heyes publiceerde wel een proof-of-concept exploit die het de kwetsbaarheid demonstreert.
Patch
Vanwege de kwetsbaarheid besloot Mozilla om Firefox 16 terug te trekken. Vandaag zou er een update voor het probleem moeten verschijnen, waarna Firefox weer is te downloaden. Als voorzorgsmaatregel adviseert Mozilla's Michael Coates om naar Firefox 15.0.1 te downgraden. Dat brengt echter ook weer risico's met zich mee, aangezien Firefox 16 juist 24 lekken in deze versie verhelpt.
Reacties (22)
Hoe komt dat deze lek niet eerder gefixt is?
En waarom adviseerd hij om down te graden naar versie 15.0.1? Want dat heeft zelfs exploit gevoeligheid waardoor malware je besmet. Ik heb liever dat een website weet waar ik naar toe ben geweest dan dat ik besmet ben met malware.
En waarom adviseerd hij om down te graden naar versie 15.0.1? Want dat heeft zelfs exploit gevoeligheid waardoor malware je besmet. Ik heb liever dat een website weet waar ik naar toe ben geweest dan dat ik besmet ben met malware.
Hoe amateuristisch ben je als je als beveiligingsonderzoeker een proof-of-concept gaat vrijgeven nog voordat de ontwikkelaars de tijd hebben gehad om het probleem op te lossen! Waardeloos!
11-10-2012, 10:17 door
Mysterio
Lekker dan! Maar welke browser was er lekker dan? Eerst was het IE, toen had Chrome een een zooitje lekken en nu is Firefox ook niet alles.
Maar wat ik me dan wel weer afvraag is het volgende: de Firefox en Chrome lekken worden door een klein aantal mensen gevonden en gemeld. Niemand kan echter garanderen dat PinkiPie en Gareth de enigen zijn die dit vinden, maar ze zijn wellicht wel de enigen die het melden.
Maar wat ik me dan wel weer afvraag is het volgende: de Firefox en Chrome lekken worden door een klein aantal mensen gevonden en gemeld. Niemand kan echter garanderen dat PinkiPie en Gareth de enigen zijn die dit vinden, maar ze zijn wellicht wel de enigen die het melden.
@Mysterio, alle browsers heeft lekken. Sterker nog, alle software heeft lekken.
Doordat IE zo in het nieuws is geweest, lijkt het nu nieuws te zijn en een ongelovige hype over welke browser heeft de minste lekken. Ik gok dat ze allemaal net zo lek zijn, maar dat de ene meer wordt gebruikt en daarbij dus eerder de lekken worden gevonden / gebruikt.
Mijn tip tegen een lekke browser wilt, sluit je internetverbinding af :)
Doordat IE zo in het nieuws is geweest, lijkt het nu nieuws te zijn en een ongelovige hype over welke browser heeft de minste lekken. Ik gok dat ze allemaal net zo lek zijn, maar dat de ene meer wordt gebruikt en daarbij dus eerder de lekken worden gevonden / gebruikt.
Mijn tip tegen een lekke browser wilt, sluit je internetverbinding af :)
Ik snap de paniek bij Mozilla niet zo. Versie 15.0.1 was toch zeker lekker als 16.0?
Wel log ik vandaag even niet in met Firefox. Mijn history wissen bij het sluiten van de browser deed ik al. Misschien dat de 'pornknop' nog uitkomst kan bieden voor Firefox gebruikers.
Wel heel erg onverantwoordelijk om een POC te releasen net na een nieuwe release van Firefox. Dit had hij ook kunnen melden aan Mozilla en hun zo een kans kunnen geven het te fixen in de volgende release (17.0).
Wel log ik vandaag even niet in met Firefox. Mijn history wissen bij het sluiten van de browser deed ik al. Misschien dat de 'pornknop' nog uitkomst kan bieden voor Firefox gebruikers.
Wel heel erg onverantwoordelijk om een POC te releasen net na een nieuwe release van Firefox. Dit had hij ook kunnen melden aan Mozilla en hun zo een kans kunnen geven het te fixen in de volgende release (17.0).
Dit vind ik toch wel schokkend nieuws. Wat is er toch aan de hand bij Mozilla ? Ik krijg zo meer twijfels over hun testprocedures. Sinds Firefox 7 waren er diverse missers te rapporteren.
Zal nog niet genoeg koffie hebben gedronken, maar lees ik het correct dat Mozilla 1 security leak waarvan er toegang verkregen wordt tot de URL belangrijker vindt dan 21 beveiligings lekken waarmee men toegang tot het onderliggende systeem kan krijgen ?
--> Mozilla trekt Firefox 16 terug
deze repareerd
--> 21 zo ernstig dat een aanvaller het onderliggende systeem erdoor kan overnemen
en de terugtrekking is vanwege een lek die
-> mogelijk zijn om toegang tot de URL en URL-parameters te krijgen
--> Mozilla trekt Firefox 16 terug
deze repareerd
--> 21 zo ernstig dat een aanvaller het onderliggende systeem erdoor kan overnemen
en de terugtrekking is vanwege een lek die
-> mogelijk zijn om toegang tot de URL en URL-parameters te krijgen
11-10-2012, 11:02 door
Spiff has left the building
Vreemd. Firefox 16, die 24 beveiligingslekken verhielp, waarvan 21 zo ernstig dat een aanvaller het onderliggende systeem erdoor kan overnemen, wordt teruggetrokken en er wordt geadviseerd te downgraden, vanwege één nieuw lek.
Het lijkt mij logischer om de eerdere versie 16 te handhaven totdat later vandaag daarvoor de update beschikbaar komt die dat ene nieuwe lek patcht.
Het lijkt mij logischer om de eerdere versie 16 te handhaven totdat later vandaag daarvoor de update beschikbaar komt die dat ene nieuwe lek patcht.
11-10-2012, 11:22 door
sloepie
@Spiff 11:02
Inderdaad heel vreemde manoeuvre van FF. Bij mij wordt FF automatisch ge-upgrade (door Ubuntu) en heb nu versie 16 geïnstalleerd staan. Als het alleen dit ene lek is, laat ik het mooi zo staan, zeker als er heel binnenkort ook een patch voor komt.
Maar door die vreemde manoeuvre vraag ik me nu wel af of dit echt alleen dit ene gat is, waarom zou je anders een versie aanbevelen waar nog veel meer gaten in zitten?
Kortom belazert FF de boel en is er meer aan de hand, of zijn ze daar hun verstand kwijtgeraakt?
Inderdaad heel vreemde manoeuvre van FF. Bij mij wordt FF automatisch ge-upgrade (door Ubuntu) en heb nu versie 16 geïnstalleerd staan. Als het alleen dit ene lek is, laat ik het mooi zo staan, zeker als er heel binnenkort ook een patch voor komt.
Maar door die vreemde manoeuvre vraag ik me nu wel af of dit echt alleen dit ene gat is, waarom zou je anders een versie aanbevelen waar nog veel meer gaten in zitten?
Kortom belazert FF de boel en is er meer aan de hand, of zijn ze daar hun verstand kwijtgeraakt?
Wat een onzin zeg. Ik laat FF mooi op 16 staan. Ik vermoed dat er iets anders aan de hand is. Wat weet ik helaas niet.
En zeg nou zelf, alles browser zijn zo lek als een vergiet waarom al die versies waarom niet gewoon een goeie maken. Allemaal kwats allemaal geldklopperij. Alles draait daarom en meer niet.
En zeg nou zelf, alles browser zijn zo lek als een vergiet waarom al die versies waarom niet gewoon een goeie maken. Allemaal kwats allemaal geldklopperij. Alles draait daarom en meer niet.
Door sloepie: @Spiff 11:02
Inderdaad heel vreemde manoeuvre van FF. Bij mij wordt FF automatisch ge-upgrade (door Ubuntu) en heb nu versie 16 geïnstalleerd staan. Als het alleen dit ene lek is, laat ik het mooi zo staan, zeker als er heel binnenkort ook een patch voor komt.
Vergeet niet dat Ubuntu zelf ook alle code controleert (en aan past om het in volledig in Ubuntu te laten passen), dus er is nog een kans dat Ubuntu Firefox dat lek niet heeft. Meer hier over weet ik niet. Ik gebruik zelf Opera, en Firefox staat hier nog op versie 15.0.1 (wekelijkse update op vrijdag).Inderdaad heel vreemde manoeuvre van FF. Bij mij wordt FF automatisch ge-upgrade (door Ubuntu) en heb nu versie 16 geïnstalleerd staan. Als het alleen dit ene lek is, laat ik het mooi zo staan, zeker als er heel binnenkort ook een patch voor komt.
11-10-2012, 12:34 door
RichieB
Dit is een privacy issue. Dat wordt bij Mozilla heel erg serieus genomen, en weegt voor hen kennelijk zwaarder dan 24 beveiligingslekken. Maar vandaag nog zal FF 16.0.1 uitkomen waarin al deze issues zijn opgelost.
Ik heb 16.0.1 al met Ubuntu Linux en ook Thunderbird 16.0.1.
Namelijk ik heb zo ingesteld wanneer er een nieuwe versie beschikbaar komt deze gelijk wordt geinstalleerd uit een Mozilla security PPA:
Namelijk ik heb zo ingesteld wanneer er een nieuwe versie beschikbaar komt deze gelijk wordt geinstalleerd uit een Mozilla security PPA:
11-10-2012, 14:09 door
Rubbertje
Door Spiff:
Vreemd. Firefox 16, die 24 beveiligingslekken verhielp, waarvan 21 zo ernstig dat een aanvaller het onderliggende systeem erdoor kan overnemen, wordt teruggetrokken en er wordt geadviseerd te downgraden, vanwege één nieuw lek.
Het lijkt mij logischer om de eerdere versie 16 te handhaven totdat later vandaag daarvoor de update beschikbaar komt die dat ene nieuwe lek patcht.
Vreemd. Firefox 16, die 24 beveiligingslekken verhielp, waarvan 21 zo ernstig dat een aanvaller het onderliggende systeem erdoor kan overnemen, wordt teruggetrokken en er wordt geadviseerd te downgraden, vanwege één nieuw lek.
Het lijkt mij logischer om de eerdere versie 16 te handhaven totdat later vandaag daarvoor de update beschikbaar komt die dat ene nieuwe lek patcht.
Helemaal mee eens. Ik laat het lekker staan zo. Ik wacht wel op de volgende update.
Bij mij doet de PoC met FF16 helemaal niets. Gebruik wel NoScript addon. Ik blijf gewoon FF 16 gebruiken.
11-10-2012, 15:59 door
Goeroeboeroe
Inderdaad ogenschijnlijk een vreemde manoeuvre. Als het alleen om de geschiedenis gaat, is dat vervelend, maar nog iets anders dan het overnemen van je hele systeem. Het uitlezen van de (gedeeltelijke) geschiedenis van de browser is jarenlang mogelijk geweest met behulp van wat JavaScript en pas 'n jaar geleden of zo in alle browsers onmogelijk gemaakt (weet niet hoe dat voor IE zit, maar in ieder geval in alle échte browsers).
Dus ik snap het terugtrekken ook niet helemaal, als het alleen om die geschiedenis gaat.
Dus ik snap het terugtrekken ook niet helemaal, als het alleen om die geschiedenis gaat.
11-10-2012, 17:15 door
Rene V
Ondanks dit alles zou ik gewoon eens willen dat de browser (Firefox dus) zich eens automatisch zou updaten, ongeacht of ik als "standard user" ben ingelogd.
Comodo Dragon (een afgeleide van Chrome, met als verschil dat het privacy vriendelijker is) doet dat namelijk wel!
Ik heb het bij FF ook ingesteld om te auto updaten, maar ik moet het vooralsnog nog steeds handmatig doen. :-/
Comodo Dragon (een afgeleide van Chrome, met als verschil dat het privacy vriendelijker is) doet dat namelijk wel!
Ik heb het bij FF ook ingesteld om te auto updaten, maar ik moet het vooralsnog nog steeds handmatig doen. :-/
Al die FF adepten die altijd die Boys uit Redmond bashen .Zien nu toch steeds meer in dat Microsoft elke dag een stukje Beters word ! Chapeau voor die Boys and Girls .Dat mag ook wel eens gezegd worden !
Mozilla Firefox 16.0.1 Final is nu (19:54) al te downloaden op majorgeeks.com.
11-okt-2012, 22:04
Ubuntu: update 16.0.1+build1-0ubuntu0 wordt aangeboden voor Firefox.
Dat deze bug niet prettig is, zonder NoScript, is helemaal waar.
... maar btw:
Heeft Microsoft ooit binnen 1 dag een update aangeboden voor een bekend IE-bug/lek/probleem?
Ubuntu: update 16.0.1+build1-0ubuntu0 wordt aangeboden voor Firefox.
Dat deze bug niet prettig is, zonder NoScript, is helemaal waar.
... maar btw:
Heeft Microsoft ooit binnen 1 dag een update aangeboden voor een bekend IE-bug/lek/probleem?
12-10-2012, 10:06 door
Mysterio
Door René V: Ondanks dit alles zou ik gewoon eens willen dat de browser (Firefox dus) zich eens automatisch zou updaten, ongeacht of ik als "standard user" ben ingelogd.
Comodo Dragon (een afgeleide van Chrome, met als verschil dat het privacy vriendelijker is) doet dat namelijk wel!
Ik heb het bij FF ook ingesteld om te auto updaten, maar ik moet het vooralsnog nog steeds handmatig doen. :-/
Eens! Dat automagisch updaten werkt nog steeds niet lekker. Flash net zo... Als je niet als Admin werkt, dan werkt dat updaten gewoon matig of niet. Terwijl dit best moet kunnen! Zeker als je dit proces als service draait, dan kun je daar prima dikke rechten aan hangen.Comodo Dragon (een afgeleide van Chrome, met als verschil dat het privacy vriendelijker is) doet dat namelijk wel!
Ik heb het bij FF ook ingesteld om te auto updaten, maar ik moet het vooralsnog nog steeds handmatig doen. :-/
Vroegah kon je ook geen Windows Updates installeren als je geen Admin was. Dit gaat nu iets beter, al loopt het met grote updates nog wel eens in de soep.
Ik denk dat men er nog steeds van uitgaat dat iedereen met Admin rechten werkt. En laat dat nou net zijn wat we terug willen dringen.
Oh, ik ken Comodo Dragon niet, maar Chrome doet alles in de Gebruikers-mappen, waar dus de gebruiker voldoende rechten heeft. Dat werkt dus ook niet, want als je de installatie standaard uitvoert, moet je onder elk account Chrome updaten.
12-10-2012, 10:37 door
yobi
Update is beschikbaar!
Reageren
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
