image

Mozilla dicht 9 lekken in Firefox 34 en schakelt SSLv3 uit

dinsdag 2 december 2014, 09:59 door Redactie, 11 reacties

Mozilla heeft een nieuwe versie van Firefox uitgebracht waarin negen beveiligingslekken zijn verholpen en SSLv3 is uitgeschakeld. Via vier van de kwetsbaarheden zou een aanvaller het onderliggende systeem kunnen overnemen als er een kwaadaardige of gehackte website werden bezocht. Via de overige lekken was het mogelijk voor een aanvaller om informatie van andere geopende websites te verzamelen of code in deze websites te injecteren.

Een andere belangrijke beveiligingsmaatregel is het uitschakelen van SSLv3. Via een kwetsbaarheid in dit protocol is het mogelijk voor een aanvaller die zich tussen een gebruiker en het internet bevindt, bijvoorbeeld bij een open wifi-netwerk, om vertrouwelijke informatie uit versleuteld verkeer te stelen, zoals sessiecookies. De aanval werkt alleen als de aanvaller de browser van het doelwit op SSL 3.0 kan laten terugvallen. Om dit te voorkomen is het protocol nu in Firefox uitgeschakeld.

Zoekmachines

Verder heeft Mozilla de standaard zoekmachines in bepaalde landen aangepast, zoals eerder al was aangekondigd. Zo is Yahoo nu de standaard zoekmachine in de VS en is voor Russische gebruikers Yandex de standaard zoekmachine geworden. Een andere aanpassing zorgt ervoor dat het verkeer naar de Engelse Wikipedia-zoekmachine nu standaard versleuteld is.

Naast de zoekmachines beschikt de opensourcebrowser nu ook over de Firefox Hello real-time communication client. Daarmee kunnen gebruikers eenvoudig en zonder speciale plug-ins of software met elkaar videochatten of bellen. Updaten naar Firefox 34 gebeurt automatisch via de browser of kan via Mozilla.org.

Reacties (11)
02-12-2014, 10:59 door Anoniem
Firefox - privacy

Disable WebRTC functie tegen device fingerprinting ('media device profile') en onverhoopt verhullen van je ip adres bij gebruik van de WebRTC service wanneer je dat niet zou willen.

Onder "about:config"
Zoek op
media.peerconnection.enabled
Die staat op true, dubbelklik op die regel is omzetten naar (false)
media.peerconnection.enabled;false

Te overvloede, je WebRTC functie is dan uitgeschakeld.
02-12-2014, 12:29 door Erik van Straten
Mozilla blijkt, min of meer stilletjes, (vermoedelijk in Firefox 33), de ONDERSTE configuratieregel uit de GUI te hebben verwijderd (zie https://bugzilla.mozilla.org/show_bug.cgi?id=1034360), ik toon hierbij de default instelllingen in Firefox 32 en ouder:

## Certificate Validation ####################################################
[v] Use the Online Certificate Status Protocol (OCSP) to confirm the validity of certificates
[ ] When an OCSP connection fails, treat the certificate as invalid

Dit vind ik een heel stomme zet. De default instelling was al fout (bij mij staat dat aan), en nu wordt het nog moeilijker gemaakt om, in deze al behoorlijk verstopte dialoogbox, dat vinkje te kunnen zetten.

Indien sprake is van een ingetrokken (revoked) certificaat, een MitM aanval en de default instelling, kan de aanvaller simpelweg OCSP responses tegenhouden, en zal de browser geen foutmelding geven. Met dat vinkje gezet word je in elk geval gewaarschuwd. Voor mensen die veiligheid vooropstellen is dit een essentiële instelling.

In about:config kun je deze instelling overigens nog wel wijzigen (hoe lang nog voordat ze ook dat eruit slopen?)
Default: security.OCSP.require = false
Verstandiger: security.OCSP.require = true
02-12-2014, 14:00 door Anoniem
https://bugzilla.mozilla.org/show_bug.cgi?id=1034360

David Keeler (:keeler) [use needinfo?] 2014-07-07 10:03:43 PDT

Looking at the telemetry for security.OCSP.require[0], about 0.2% of users have changed it from the default value, so I think it's reasonable to not have any ui (other than about:config) for that.

The telemetry for security.OCSP.enabled[1] indicates about 2% of users have changed it from the default value, so I suppose that's about where we would support changing it in preferences. It doesn't need its own dialog box, though, so I'll just move it to the Certificate tab of the Advanced preferences.

Keeler liktbijt (lief bijtje) hiermee vermoedelijk in zijn eigen staart, ofwel heeft hier het waarschijnlijke geluk van een self fulfilling prophecy.

De kans lijkt mij erg groot dat de meer ingevoerde Firefox gebruikers die tot achterin de firefox voorkeuren de moeite nemen om zaken goed in te stellen, wel bekend zijn met de Telemetry functie en deze vanwege privacy overwegingen uit (!) hebben staan.

Mozilla redenering : we maken op uit de niet representatieve Telemetry feedback op dat vrijwel niemand deze setting gebruikt (niet de vereiste 2 %)
:( ?

Aan de andere kant lees je ook dat het OSCP protocol zelf niet veilig is doordat het in plain text over het net gaat, dus de juistheid van het antwoord op deze check niet bepaald geheel gegarandeerd is.
Tja,.. wat voor veiligheid biedt die OCSP check dan? (Alle beetjes helpen)?
02-12-2014, 14:08 door Anoniem
Voor wie de OSCP setting mist of liever niet elke keer allerlei 'fancy' dingen in zijn Firefox wil.
Pak de ESR, lange termijn ondersteuning versie, van Firefox

31.3.0 heeft onder "Certificates" de "Validation" button nog wel.

Zoek je versie maar op hier
https://ftp.mozilla.org/pub/mozilla.org/firefox/releases/latest-esr/
02-12-2014, 14:22 door [Account Verwijderd]
[Verwijderd]
02-12-2014, 14:41 door Anoniem
Tnx Erik van Straten
02-12-2014, 16:13 door [Account Verwijderd]
[Verwijderd]
02-12-2014, 16:24 door Anoniem
FYI; http://www.theregister.co.uk/2014/12/02/cookie_rules_apply_to_alternative_device_fingerprinting_technologies_says_privacy_watchdog/
02-12-2014, 17:52 door Anoniem
Door Anoniem: FYI; http://www.theregister.co.uk/2014/12/02/cookie_rules_apply_to_alternative_device_fingerprinting_technologies_says_privacy_watchdog/

Fu2 : https://panopticlick.eff.org/

Als voldoende gebruikers de privacy settings (die Mozilla laat liggen) onder de motorkap van Firefox zelf nog wat aanscherpen komt het weer goed met die uniciteit.

Overal is ergens een eerste begin (die eersten doen het dan voor de goede zaak)
;-)
02-12-2014, 17:58 door Anoniem
Door Picasa3: Ten overvloede: er is ook een nieuwe versie van Thunderbird verschenen.

31.3.0/ 28-Nov-2014 02:40

https://ftp.mozilla.org/pub/mozilla.org/thunderbird/releases/
10-12-2014, 17:50 door Erik van Straten - Bijgewerkt: 10-12-2014, 17:50
02-12-2014, 14:00 door Anoniem: Aan de andere kant lees je ook dat het OSCP protocol zelf niet veilig is doordat het in plain text over het net gaat, dus de juistheid van het antwoord op deze check niet bepaald geheel gegarandeerd is.
Het antwoord van de OCSP server is digitaal ondertekend waardoor een aanvaller de inhoud niet "zomaar" kan wijzigen, daar hoef je je geen zorgen over te maken.

Het verreweg grootste risico is hier dat het antwoord jouw browser niet bereikt, en jouw browser vervolgens de schouders ophaalt door ervan uit te gaan dat het certificaat waarschijnlijk toch niet is ingetrokken. Wel sneu voor je als een MitM aanvaller, die jouw private key gestolen heeft, daar nou net vanuit gaat en het hele OCSP antwoord tegenhoudt (of de aanvraag, of de DNS aanvraag/antwoord).

Statistisch gezien is het "schouderophalen" wellicht een correct besluit. Vergelijkbaar met de anekdote van de statisticus die niet kon zwemmen, maar toch vol zelfvertrouwen door de revier van gemiddeld 1 meter diepte waadde. En verdronk.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.