Nieuws
image

Mozilla trekt Firefox 16 terug wegens beveiligingslek

donderdag 11 oktober 2012, 09:28 door Redactie, 22 reacties

Mozilla waarschuwt voor een beveiligingslek in Firefox 16 waardoor websites de surfgeschiedenis van gebruikers kunnen achterhalen. Firefox 16 verscheen gisteren en verhielp 24 beveiligingslekken, waarvan 21 zo ernstig dat een aanvaller het onderliggende systeem erdoor kan overnemen. Beveiligingsonderzoeker Gareth Heyes ontdekte dat het mogelijk is voor een gehackte of kwaadaardige website om te bepalen welke websites gebruikers eerder hebben bezocht.

Ook zou het mogelijk zijn om toegang tot de URL en URL-parameters te krijgen. Volgens Mozilla wordt het lek niet in het wild misbruikt, maar Heyes publiceerde wel een proof-of-concept exploit die het de kwetsbaarheid demonstreert.

Patch
Vanwege de kwetsbaarheid besloot Mozilla om Firefox 16 terug te trekken. Vandaag zou er een update voor het probleem moeten verschijnen, waarna Firefox weer is te downloaden. Als voorzorgsmaatregel adviseert Mozilla's Michael Coates om naar Firefox 15.0.1 te downgraden. Dat brengt echter ook weer risico's met zich mee, aangezien Firefox 16 juist 24 lekken in deze versie verhelpt.

Reacties (22)
11-10-2012, 10:04 door Anoniem
Hoe komt dat deze lek niet eerder gefixt is?

En waarom adviseerd hij om down te graden naar versie 15.0.1? Want dat heeft zelfs exploit gevoeligheid waardoor malware je besmet. Ik heb liever dat een website weet waar ik naar toe ben geweest dan dat ik besmet ben met malware.
11-10-2012, 10:06 door Anoniem
Hoe amateuristisch ben je als je als beveiligingsonderzoeker een proof-of-concept gaat vrijgeven nog voordat de ontwikkelaars de tijd hebben gehad om het probleem op te lossen! Waardeloos!
11-10-2012, 10:17 door Mysterio
Lekker dan! Maar welke browser was er lekker dan? Eerst was het IE, toen had Chrome een een zooitje lekken en nu is Firefox ook niet alles.

Maar wat ik me dan wel weer afvraag is het volgende: de Firefox en Chrome lekken worden door een klein aantal mensen gevonden en gemeld. Niemand kan echter garanderen dat PinkiPie en Gareth de enigen zijn die dit vinden, maar ze zijn wellicht wel de enigen die het melden.
11-10-2012, 10:23 door Anoniem
@Mysterio, alle browsers heeft lekken. Sterker nog, alle software heeft lekken.

Doordat IE zo in het nieuws is geweest, lijkt het nu nieuws te zijn en een ongelovige hype over welke browser heeft de minste lekken. Ik gok dat ze allemaal net zo lek zijn, maar dat de ene meer wordt gebruikt en daarbij dus eerder de lekken worden gevonden / gebruikt.

Mijn tip tegen een lekke browser wilt, sluit je internetverbinding af :)
11-10-2012, 10:34 door Anoniem
Ik snap de paniek bij Mozilla niet zo. Versie 15.0.1 was toch zeker lekker als 16.0?
Wel log ik vandaag even niet in met Firefox. Mijn history wissen bij het sluiten van de browser deed ik al. Misschien dat de 'pornknop' nog uitkomst kan bieden voor Firefox gebruikers.

Wel heel erg onverantwoordelijk om een POC te releasen net na een nieuwe release van Firefox. Dit had hij ook kunnen melden aan Mozilla en hun zo een kans kunnen geven het te fixen in de volgende release (17.0).
11-10-2012, 10:46 door Anoniem
Dit vind ik toch wel schokkend nieuws. Wat is er toch aan de hand bij Mozilla ? Ik krijg zo meer twijfels over hun testprocedures. Sinds Firefox 7 waren er diverse missers te rapporteren.
11-10-2012, 10:46 door Anoniem
Zal nog niet genoeg koffie hebben gedronken, maar lees ik het correct dat Mozilla 1 security leak waarvan er toegang verkregen wordt tot de URL belangrijker vindt dan 21 beveiligings lekken waarmee men toegang tot het onderliggende systeem kan krijgen ?

--> Mozilla trekt Firefox 16 terug
deze repareerd
--> 21 zo ernstig dat een aanvaller het onderliggende systeem erdoor kan overnemen
en de terugtrekking is vanwege een lek die
-> mogelijk zijn om toegang tot de URL en URL-parameters te krijgen
11-10-2012, 11:02 door Spiff has left the building
Vreemd. Firefox 16, die 24 beveiligingslekken verhielp, waarvan 21 zo ernstig dat een aanvaller het onderliggende systeem erdoor kan overnemen, wordt teruggetrokken en er wordt geadviseerd te downgraden, vanwege één nieuw lek.
Het lijkt mij logischer om de eerdere versie 16 te handhaven totdat later vandaag daarvoor de update beschikbaar komt die dat ene nieuwe lek patcht.
11-10-2012, 11:22 door sloepie
@Spiff 11:02

Inderdaad heel vreemde manoeuvre van FF. Bij mij wordt FF automatisch ge-upgrade (door Ubuntu) en heb nu versie 16 geïnstalleerd staan. Als het alleen dit ene lek is, laat ik het mooi zo staan, zeker als er heel binnenkort ook een patch voor komt.

Maar door die vreemde manoeuvre vraag ik me nu wel af of dit echt alleen dit ene gat is, waarom zou je anders een versie aanbevelen waar nog veel meer gaten in zitten?

Kortom belazert FF de boel en is er meer aan de hand, of zijn ze daar hun verstand kwijtgeraakt?
11-10-2012, 11:43 door Anoniem
Wat een onzin zeg. Ik laat FF mooi op 16 staan. Ik vermoed dat er iets anders aan de hand is. Wat weet ik helaas niet.
En zeg nou zelf, alles browser zijn zo lek als een vergiet waarom al die versies waarom niet gewoon een goeie maken. Allemaal kwats allemaal geldklopperij. Alles draait daarom en meer niet.
11-10-2012, 11:55 door Anoniem
Door sloepie: @Spiff 11:02

Inderdaad heel vreemde manoeuvre van FF. Bij mij wordt FF automatisch ge-upgrade (door Ubuntu) en heb nu versie 16 geïnstalleerd staan. Als het alleen dit ene lek is, laat ik het mooi zo staan, zeker als er heel binnenkort ook een patch voor komt.
Vergeet niet dat Ubuntu zelf ook alle code controleert (en aan past om het in volledig in Ubuntu te laten passen), dus er is nog een kans dat Ubuntu Firefox dat lek niet heeft. Meer hier over weet ik niet. Ik gebruik zelf Opera, en Firefox staat hier nog op versie 15.0.1 (wekelijkse update op vrijdag).
11-10-2012, 12:34 door RichieB
Dit is een privacy issue. Dat wordt bij Mozilla heel erg serieus genomen, en weegt voor hen kennelijk zwaarder dan 24 beveiligingslekken. Maar vandaag nog zal FF 16.0.1 uitkomen waarin al deze issues zijn opgelost.
11-10-2012, 13:23 door Anoniem
Ik heb 16.0.1 al met Ubuntu Linux en ook Thunderbird 16.0.1.
Namelijk ik heb zo ingesteld wanneer er een nieuwe versie beschikbaar komt deze gelijk wordt geinstalleerd uit een Mozilla security PPA:
11-10-2012, 14:09 door Rubbertje
Door Spiff:
Vreemd. Firefox 16, die 24 beveiligingslekken verhielp, waarvan 21 zo ernstig dat een aanvaller het onderliggende systeem erdoor kan overnemen, wordt teruggetrokken en er wordt geadviseerd te downgraden, vanwege één nieuw lek.
Het lijkt mij logischer om de eerdere versie 16 te handhaven totdat later vandaag daarvoor de update beschikbaar komt die dat ene nieuwe lek patcht.

Helemaal mee eens. Ik laat het lekker staan zo. Ik wacht wel op de volgende update.
11-10-2012, 14:11 door Anoniem
Bij mij doet de PoC met FF16 helemaal niets. Gebruik wel NoScript addon. Ik blijf gewoon FF 16 gebruiken.
11-10-2012, 15:59 door Goeroeboeroe
Inderdaad ogenschijnlijk een vreemde manoeuvre. Als het alleen om de geschiedenis gaat, is dat vervelend, maar nog iets anders dan het overnemen van je hele systeem. Het uitlezen van de (gedeeltelijke) geschiedenis van de browser is jarenlang mogelijk geweest met behulp van wat JavaScript en pas 'n jaar geleden of zo in alle browsers onmogelijk gemaakt (weet niet hoe dat voor IE zit, maar in ieder geval in alle échte browsers).
Dus ik snap het terugtrekken ook niet helemaal, als het alleen om die geschiedenis gaat.
11-10-2012, 17:15 door Rene V
Ondanks dit alles zou ik gewoon eens willen dat de browser (Firefox dus) zich eens automatisch zou updaten, ongeacht of ik als "standard user" ben ingelogd.

Comodo Dragon (een afgeleide van Chrome, met als verschil dat het privacy vriendelijker is) doet dat namelijk wel!

Ik heb het bij FF ook ingesteld om te auto updaten, maar ik moet het vooralsnog nog steeds handmatig doen. :-/
11-10-2012, 18:51 door Anoniem
Al die FF adepten die altijd die Boys uit Redmond bashen .Zien nu toch steeds meer in dat Microsoft elke dag een stukje Beters word ! Chapeau voor die Boys and Girls .Dat mag ook wel eens gezegd worden !
11-10-2012, 19:56 door Anoniem
Mozilla Firefox 16.0.1 Final is nu (19:54) al te downloaden op majorgeeks.com.
11-10-2012, 22:09 door Anoniem
11-okt-2012, 22:04
Ubuntu: update 16.0.1+build1-0ubuntu0 wordt aangeboden voor Firefox.

Dat deze bug niet prettig is, zonder NoScript, is helemaal waar.
... maar btw:
Heeft Microsoft ooit binnen 1 dag een update aangeboden voor een bekend IE-bug/lek/probleem?
12-10-2012, 10:06 door Mysterio
Door René V: Ondanks dit alles zou ik gewoon eens willen dat de browser (Firefox dus) zich eens automatisch zou updaten, ongeacht of ik als "standard user" ben ingelogd.

Comodo Dragon (een afgeleide van Chrome, met als verschil dat het privacy vriendelijker is) doet dat namelijk wel!

Ik heb het bij FF ook ingesteld om te auto updaten, maar ik moet het vooralsnog nog steeds handmatig doen. :-/
Eens! Dat automagisch updaten werkt nog steeds niet lekker. Flash net zo... Als je niet als Admin werkt, dan werkt dat updaten gewoon matig of niet. Terwijl dit best moet kunnen! Zeker als je dit proces als service draait, dan kun je daar prima dikke rechten aan hangen.

Vroegah kon je ook geen Windows Updates installeren als je geen Admin was. Dit gaat nu iets beter, al loopt het met grote updates nog wel eens in de soep.

Ik denk dat men er nog steeds van uitgaat dat iedereen met Admin rechten werkt. En laat dat nou net zijn wat we terug willen dringen.

Oh, ik ken Comodo Dragon niet, maar Chrome doet alles in de Gebruikers-mappen, waar dus de gebruiker voldoende rechten heeft. Dat werkt dus ook niet, want als je de installatie standaard uitvoert, moet je onder elk account Chrome updaten.
12-10-2012, 10:37 door yobi
Update is beschikbaar!
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Zoeken
search