image

Firefox 37 dicht repareert 17 lekken, verbetert SSL-controle

woensdag 1 april 2015, 10:07 door Redactie, 15 reacties
Laatst bijgewerkt: 01-04-2015, 16:10

Er is een nieuwe versie van Firefox verschenen die een groot aantal beveiligingslekken verhelpt en een aantal beveiligingsmaatregelen toevoegt. Van de in totaal 17 lekken die in Firefox 37 zijn gepatcht waren er zeven zo ernstig dat ze konden worden gebruikt om het onderliggende systeem volledig over te nemen.

Het bezoeken van een gehackte of kwaadaardige website of het te zien krijgen van een besmette advertentie was in dit geval voldoende geweest. Verder gebruikt de Bing-zoekmachine nu standaard HTTPS, is het terugvallen op onveilige versies van het TLS-encryptieprotocol uitgeschakeld, is de certificaat- en TLS-communicatie verbeterd en is OneCRL toegevoegd.

OneCRL versnelt het controleren op ingetrokken SSL-certificaten door een gecentraliseerde lijst van ingetrokken certificaten bij te houden en die naar Firefox te sturen. Als er voorheen een incident plaatsvond waarbij een certificaat werd ingetrokken bracht Mozilla een update voor Firefox uit. Dit was een trage methode, omdat het enige tijd kon duren voordat gebruikers de beveiligingsupdate ontvingen en hun browsers hadden herstart. Via OneCRL kunnen gebruikers nu sneller worden beschermd. Upgraden naar Firefox 37 kan via de ingebouwde updatefunctie en Mozilla.org.

Reacties (15)
01-04-2015, 10:23 door [Account Verwijderd]
[Verwijderd]
01-04-2015, 13:30 door [Account Verwijderd]
Via de ingebouwde updatefunctie werd gemeld dat firefox up-to-date was terwijl ik nog op versie 36.0.4 zat. Heb maar via Mozilla.org Firefox 37 gedownload.
01-04-2015, 14:25 door passer
@ _kraai_: dit was bij mij ook, geen melding van een update via de Help-tab, 'k heb hem via Mozilla gedownd en hij werkt zoals het hoort
01-04-2015, 14:30 door Anoniem
Door passer: @ _kraai_: dit was bij mij ook, geen melding van een update via de Help-tab, 'k heb hem via Mozilla gedownd en hij werkt zoals het hoort

Dat is mij al vaker opgevallen, het duurt soms een paar uur voordat de NL mirror de update heeft.
01-04-2015, 16:35 door [Account Verwijderd]
Door passer 01-04-2015 14:25 uur: @ _kraai_: dit was bij mij ook, geen melding van een update via de Help-tab, 'k heb hem via Mozilla gedownd en hij werkt zoals het hoort

Ah bedankt voor de info passer. Ben dus blijkbaar niet de enige waarbij geen melding was van een update voor Firefox via de Help-tab.

Door Anoniem 01-04-2015 14:30 uur:

Dat is mij al vaker opgevallen, het duurt soms een paar uur voordat de NL mirror de update heeft.

A bedankt hiervan was ik niet op de hoogte. Vraag me dan wel af hoelang dat precies duurt voordat de NL mirror de update ook heeft. Ik had namelijk gisteravond op tweakers.net al gelezen dat Firefox 37 beschikbaar is, maar probeerde vanmiddag pas te update.
01-04-2015, 18:39 door Anoniem
Kan de redactie eens uitleggen hoe ze aan 17 lekken komen??

Kijken we op:

https://www.mozilla.org/en-US/security/known-vulnerabilities/firefox/

Dan staan er daar maar 13.

Telt de redactie de "legends" die er boven staan en die alleen maar een verklaring voor de kleur geven, soms mee?
01-04-2015, 19:25 door Anoniem
Paar uur?
Software-update: Mozilla Firefox 37.0

Door Bart van Klaveren, dinsdag 31 maart 2015 21:44, 34 reacties, 6.345 views • Feedback
Bron: Mozilla Foundation

Mozilla Firefox 2013 logo (75 pix)Mozilla heeft kort geleden versie 37 van zijn webbrowser Firefox uitgebracht.

Nu 1 april 19:23, Firefox geeft nog steeds aan dat 36.0.4 up-to-date is....
01-04-2015, 20:13 door Anoniem
Door Anoniem: Kan de redactie eens uitleggen hoe ze aan 17 lekken komen??

Kijken we op:

https://www.mozilla.org/en-US/security/known-vulnerabilities/firefox/

Dan staan er daar maar 13.

Telt de redactie de "legends" die er boven staan en die alleen maar een verklaring voor de kleur geven, soms mee?

Ik gok door het aantal CVE's te tellen. Op de firefox pagina staan soms meerdere kwetsbaarheden onder hetzelfde kopje.
01-04-2015, 20:28 door Anoniem
ja soms wordt al eerder vermeldt dat er een nieuwere versie van Firefox uitgerold is,voordat hij via de officiele kanalen kan worden bijgewerkt.
Ook zijn ze niet gelijk tijdig in diversen talen beschikbaar.
01-04-2015, 20:49 door Eric-Jan H te D
Moet weer die f*ck*ng code invullen.

Gaan we op deze site door met het vermelden dat dit of dat pakket security-updates heeft uitgebracht.
01-04-2015, 21:21 door Anoniem
Door Anoniem:
Door Anoniem: Kan de redactie eens uitleggen hoe ze aan 17 lekken komen??

Kijken we op:

https://www.mozilla.org/en-US/security/known-vulnerabilities/firefox/

Dan staan er daar maar 13.

Telt de redactie de "legends" die er boven staan en die alleen maar een verklaring voor de kleur geven, soms mee?

Ik gok door het aantal CVE's te tellen. Op de firefox pagina staan soms meerdere kwetsbaarheden onder hetzelfde kopje.

Dank je wel voor de uitleg. Excuses aan de redactie.
01-04-2015, 22:59 door Anoniem
Door Anoniem: Kan de redactie eens uitleggen hoe ze aan 17 lekken komen??

Kijken we op:

https://www.mozilla.org/en-US/security/known-vulnerabilities/firefox/

Dan staan er daar maar 13.

Telt de redactie de "legends" die er boven staan en die alleen maar een verklaring voor de kleur geven, soms mee?

Je moet naar de CVE-nummers kijken. Dit is een code waar lekken in software mee worden aangegeven. Als je dat doet kom je inderdaad op 17 uit. Er zijn dus 17 lekken met een cve-nummer gepatcht.

Doet Microsoft ook. Kijk maar naar https://technet.microsoft.com/en-us/library/security/ms15-018.aspx
Dat is 1 Security Bulletin die 12 cve-nummers fixt
02-04-2015, 16:06 door [Account Verwijderd]
Zojuist Firefox 37 op mijn PC met Windows 7 geïnstalleerd, maar dit moest ik ook doen door Firefox 37 via Mozilla te downloaden. Ook hier gaf de ingebouwde update functie namelijk aan dat Firefox 36.0.4 up-to-date was.
02-04-2015, 20:43 door D0rus - Bijgewerkt: 02-04-2015, 20:47
https://www.google.com/calendar/embed?src=bW96aWxsYS5jb21fZGJxODRhbnI5aTh0Y25taGFiYXRzdHY1Y29AZ3JvdXAuY2FsZW5kYXIuZ29vZ2xlLmNvbQ

Mozilla rolt de update in fases uit, eerste 0.01% van de gebruikers in de nightly, later 0.1% in de beta, en zo telkens grotere groepen. Ze zitten nu op 25%. Die 25% wordt willekeurig gekozen, dus als je de update nog niet hebt nu, dan zit je in de 75% die hem nog niet krijgt.

De 100% update staat voor morgen gepland, mits ze geen stortvloed aan crashmeldingen of erger krijgen uiteraard, dan zal er eerste een 37.0.1 verschijnen. Even wachten tot Vrijdag dus.

Overigens verbaast het mij dat je via 'over firefox' niet alsnog de update vroeg kan krijgen, normaal krijgen mensen die daar op klikken alsnog vroegtijdig de update.

(https://support.mozilla.org/en-US/forums/contributors/711208?last=64767#post-64767Even gezocht), blijkbaar is er dus een stortvloed aan crashes gevonden, en komt er een 37.0.1. Ik wens alle vroege updaters veel succes met hun crash-fox :) (Overigens kunnen niet-windows gebruikers wel veilig updaten, de crash is windows-only).
04-04-2015, 13:09 door [Account Verwijderd]
Door D0rus 02-04-2015 20:43 uur:
Mozilla rolt de update in fases uit, eerste 0.01% van de gebruikers in de nightly, later 0.1% in de beta, en zo telkens grotere groepen. Ze zitten nu op 25%. Die 25% wordt willekeurig gekozen, dus als je de update nog niet hebt nu, dan zit je in de 75% die hem nog niet krijgt.

De 100% update staat voor morgen gepland, mits ze geen stortvloed aan crashmeldingen of erger krijgen uiteraard, dan zal er eerste een 37.0.1 verschijnen. Even wachten tot Vrijdag dus.

Bedankt D0rus. Ik was er niet van op de hoogte dat Mozilla updates is fases uitrolt.

Door D0rus 02-04-2015 20:43 uur:

Overigens verbaast het mij dat je via 'over firefox' niet alsnog de update vroeg kan krijgen, normaal krijgen mensen die daar op klikken alsnog vroegtijdig de update.

Ik heb tot nu toe altijd via "over firefox" gecontroleerd op updates, en dit is nu de eerste keer dat ik de update niet binnen krijg. Maar goed via Mozilla.org de update downloaden werkt bij mij ook prima.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.