image

Noodpatches Firefox verhelpen Pwn2Own-lekken

zondag 22 maart 2015, 15:24 door Redactie, 6 reacties

Mozilla heeft in korte tijd twee noodpatches voor Firefox uitgebracht die kritieke beveiligingslekken verhelpen waardoor een aanvaller in het ergste geval de computer volledig kon overnemen. Het gaat om twee kwetsbaarheden die tijdens de Pwn2Own-wedstrijd in Vancouver werden gedemonstreerd.

Tijdens het evenement kunnen onderzoekers geldprijzen winnen door beveiligingslekken in populaire browsers en browserplug-ins te laten zien. In Firefox werden drie kwetsbaarheden gedemonstreerd, waar de twee verantwoordelijke onderzoekers bij elkaar 45.000 dollar mee verdienden. Een dag na de demonstratie had Mozilla al een update naar Firefox 36.0.3 klaar die de eerste twee lekken verhielp. Een paar uur later gevolgd door Firefox 36.0.4 voor de derde kwetsbaarheid.

Updaten naar Firefox 36.0.4 kan via de automatische updatefunctie van de browser of Mozilla.org. Naast Firefox slaagden onderzoekers tijdens het evenement ook om Internet Explorer 11, Safari en Google Chrome te hacken. In IE11 werden de meeste kwetsbaarheden ontdekt, namelijk vier. Op dezelfde dag als Mozilla kwam ook Google met een update voor Chrome, maar in de omschrijving wordt niet vermeld of erin deze versie beveiligingslekken zijn gepatcht.

Reacties (6)
22-03-2015, 16:00 door Anoniem
Ook de ESR versie is geüpdated naar 31.5.3esr .

https://ftp.mozilla.org/pub/mozilla.org/firefox/releases/latest-esr/

Of er ook een 0.4 versie uitkomt is nog de vraag.
22-03-2015, 20:42 door Anoniem
na update start de firefox niet
22-03-2015, 22:01 door Anoniem
"Op dezelfde dag als Mozilla kwam ook Google met een update voor Chrome, maar in de omschrijving wordt niet vermeld of erin deze versie beveiligingslekken zijn gepatcht."

De beveiligingslekken van Pwn2Own zijn hier nog niet in verwerkt.
In de Blog staat duidelijk dat in Google Chrome 41.0.2272.101 van 19 maart 2015 problemen tot en met 14 maart 2015 bijgewerkt zijn.

Mensen die zo graag schermen met de vermeende veiligheid van de sandbox in Google Chrome willen niet zien dat deze sandbox tot nu toe behoorlijk lek is en dat voor een relatief simpele browser.

Ook in 2014 had Google Chrome meer veiligheidslekken dan Firefox.
Intermet Explorer was natuurlijk de kampioen met 220 zeer gevaarlijke veiligheidslekken. (In totaal zelfs 242.)
Google: 86 en de browser met de meeste mogelijkheden, Firefox: 57.

http://www.gfi.com/blog/most-vulnerable-operating-systems-and-applications-in-2014/
23-03-2015, 16:05 door Anoniem
Krijg al 3 dagen regelmatig bericht over deze update 36.0.4, maar na downloaden van de upgrade en herstart is nog steeds 36.0.1 actief en de geopende tabs komen weliswaar terug, maar met inhoud 'op zwart' ...
23-03-2015, 18:07 door Anoniem
Aan beide Anoniemen:

Update problemen?

Ga naar c:\Users\GEBRUIKER\AppData\Roaming\Mozilla\Firefox\

Maak een back-up met bijvoorbeeld WinRAR van de "Profiles" directory. (5 seconden met WinRAR 5.21.)
Geen Winrar of ZIP? Maak een kopie naar een andere directory.

Download de "Offline Install" versie van Firefox 36.0.4. (39,2 MB) van bijvoorbeeld:

http://www.majorgeeks.com/files/details/mozilla_firefox_36.html

Installeer Firefox. Deze "ziet" dat het een update is en laat de instellingen en extensies intact.
24-03-2015, 16:46 door Anoniem
+ een nieuwe Torbrowser versie 4.0.5

https://dist.torproject.org/torbrowser/4.0.5/
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.