Firefox 37 dicht repareert 17 lekken, verbetert SSL-controle
Er is een nieuwe versie van Firefox verschenen die een groot aantal beveiligingslekken verhelpt en een aantal beveiligingsmaatregelen toevoegt. Van de in totaal 17 lekken die in Firefox 37 zijn gepatcht waren er zeven zo ernstig dat ze konden worden gebruikt om het onderliggende systeem volledig over te nemen.
Het bezoeken van een gehackte of kwaadaardige website of het te zien krijgen van een besmette advertentie was in dit geval voldoende geweest. Verder gebruikt de Bing-zoekmachine nu standaard HTTPS, is het terugvallen op onveilige versies van het TLS-encryptieprotocol uitgeschakeld, is de certificaat- en TLS-communicatie verbeterd en is OneCRL toegevoegd.
OneCRL versnelt het controleren op ingetrokken SSL-certificaten door een gecentraliseerde lijst van ingetrokken certificaten bij te houden en die naar Firefox te sturen. Als er voorheen een incident plaatsvond waarbij een certificaat werd ingetrokken bracht Mozilla een update voor Firefox uit. Dit was een trage methode, omdat het enige tijd kon duren voordat gebruikers de beveiligingsupdate ontvingen en hun browsers hadden herstart. Via OneCRL kunnen gebruikers nu sneller worden beschermd. Upgraden naar Firefox 37 kan via de ingebouwde updatefunctie en Mozilla.org.
Dat is mij al vaker opgevallen, het duurt soms een paar uur voordat de NL mirror de update heeft.
Ah bedankt voor de info passer. Ben dus blijkbaar niet de enige waarbij geen melding was van een update voor Firefox via de Help-tab.
Dat is mij al vaker opgevallen, het duurt soms een paar uur voordat de NL mirror de update heeft.
A bedankt hiervan was ik niet op de hoogte. Vraag me dan wel af hoelang dat precies duurt voordat de NL mirror de update ook heeft. Ik had namelijk gisteravond op tweakers.net al gelezen dat Firefox 37 beschikbaar is, maar probeerde vanmiddag pas te update.
Kijken we op:
https://www.mozilla.org/en-US/security/known-vulnerabilities/firefox/
Dan staan er daar maar 13.
Telt de redactie de "legends" die er boven staan en die alleen maar een verklaring voor de kleur geven, soms mee?
Door Bart van Klaveren, dinsdag 31 maart 2015 21:44, 34 reacties, 6.345 views • Feedback
Bron: Mozilla Foundation
Mozilla Firefox 2013 logo (75 pix)Mozilla heeft kort geleden versie 37 van zijn webbrowser Firefox uitgebracht.
Nu 1 april 19:23, Firefox geeft nog steeds aan dat 36.0.4 up-to-date is....
Kijken we op:
https://www.mozilla.org/en-US/security/known-vulnerabilities/firefox/
Dan staan er daar maar 13.
Telt de redactie de "legends" die er boven staan en die alleen maar een verklaring voor de kleur geven, soms mee?
Ik gok door het aantal CVE's te tellen. Op de firefox pagina staan soms meerdere kwetsbaarheden onder hetzelfde kopje.
Ook zijn ze niet gelijk tijdig in diversen talen beschikbaar.
Gaan we op deze site door met het vermelden dat dit of dat pakket security-updates heeft uitgebracht.
Kijken we op:
https://www.mozilla.org/en-US/security/known-vulnerabilities/firefox/
Dan staan er daar maar 13.
Telt de redactie de "legends" die er boven staan en die alleen maar een verklaring voor de kleur geven, soms mee?
Ik gok door het aantal CVE's te tellen. Op de firefox pagina staan soms meerdere kwetsbaarheden onder hetzelfde kopje.
Dank je wel voor de uitleg. Excuses aan de redactie.
Kijken we op:
https://www.mozilla.org/en-US/security/known-vulnerabilities/firefox/
Dan staan er daar maar 13.
Telt de redactie de "legends" die er boven staan en die alleen maar een verklaring voor de kleur geven, soms mee?
Je moet naar de CVE-nummers kijken. Dit is een code waar lekken in software mee worden aangegeven. Als je dat doet kom je inderdaad op 17 uit. Er zijn dus 17 lekken met een cve-nummer gepatcht.
Doet Microsoft ook. Kijk maar naar https://technet.microsoft.com/en-us/library/security/ms15-018.aspx
Dat is 1 Security Bulletin die 12 cve-nummers fixt
Mozilla rolt de update in fases uit, eerste 0.01% van de gebruikers in de nightly, later 0.1% in de beta, en zo telkens grotere groepen. Ze zitten nu op 25%. Die 25% wordt willekeurig gekozen, dus als je de update nog niet hebt nu, dan zit je in de 75% die hem nog niet krijgt.
De 100% update staat voor morgen gepland, mits ze geen stortvloed aan crashmeldingen of erger krijgen uiteraard, dan zal er eerste een 37.0.1 verschijnen. Even wachten tot Vrijdag dus.
Overigens verbaast het mij dat je via 'over firefox' niet alsnog de update vroeg kan krijgen, normaal krijgen mensen die daar op klikken alsnog vroegtijdig de update.
(https://support.mozilla.org/en-US/forums/contributors/711208?last=64767#post-64767Even gezocht), blijkbaar is er dus een stortvloed aan crashes gevonden, en komt er een 37.0.1. Ik wens alle vroege updaters veel succes met hun crash-fox :) (Overigens kunnen niet-windows gebruikers wel veilig updaten, de crash is windows-only).
Mozilla rolt de update in fases uit, eerste 0.01% van de gebruikers in de nightly, later 0.1% in de beta, en zo telkens grotere groepen. Ze zitten nu op 25%. Die 25% wordt willekeurig gekozen, dus als je de update nog niet hebt nu, dan zit je in de 75% die hem nog niet krijgt.
De 100% update staat voor morgen gepland, mits ze geen stortvloed aan crashmeldingen of erger krijgen uiteraard, dan zal er eerste een 37.0.1 verschijnen. Even wachten tot Vrijdag dus.
Bedankt D0rus. Ik was er niet van op de hoogte dat Mozilla updates is fases uitrolt.
Overigens verbaast het mij dat je via 'over firefox' niet alsnog de update vroeg kan krijgen, normaal krijgen mensen die daar op klikken alsnog vroegtijdig de update.
Ik heb tot nu toe altijd via "over firefox" gecontroleerd op updates, en dit is nu de eerste keer dat ik de update niet binnen krijg. Maar goed via Mozilla.org de update downloaden werkt bij mij ook prima.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
