image

Firefox 39 checkt Mac- en Linux-downloads op malware

vrijdag 3 juli 2015, 10:23 door Redactie, 15 reacties
Laatst bijgewerkt: 03-07-2015, 13:36

Mozilla heeft een nieuwe versie van Firefox uitgebracht, waarin 22 beveiligingslekken zijn verholpen, waaronder de Logjam-aanval. Daarnaast worden voortaan downloads van Mac- en Linux-gebruikers op malware gecontroleerd. Van de 22 kwetsbaarheden zijn er 13 als "kritiek" aangemeld, wat inhoudt dat een aanvaller een computer volledig kan overnemen als er met een kwetsbare Firefox-versie een gehackte of kwaadaardige website wordt bezocht. Dat blijkt uit de release notes van Firefox 39.

Hoewel Mozilla zelf 13 kwetsbaarheden aangeeft, blijkt dat de updates soms meerdere lekken verhelpen. Door naar het aantal CVE-nummers te kijken kan het werkelijke aantal opgeloste kwetsbaarheden worden geteld. Eén van de updates is voor de Logjam-aanval. Via de Logjam-aanval kan een aanvaller, die zich tussen het slachtoffer en het internet bevindt, kwetsbare TLS-verbindingen naar een 512-bit encryptie downgraden.

Hierdoor kan een aanvaller alle data over de versleutelde verbinding ontcijferen en zo lezen of aanpassen. In de library die Firefox voor encryptie-toepassingen gebruikt is dit nu verholpen door geen Diffie-Helman priemgetallen kleiner dan 1024 te accepteren. Een oplossing die de onderzoekers die het probleem ontdekten ook adviseren.

Een ander probleem raakte alleen Mac-gebruikers. Crashrapportages van de OS X-versie bleken soms persoonlijke informatie te bevatten. In de rapportages werd de toets meegestuurd die de crash veroorzaakte, maar soms werden er ook toetsaanslagen meegestuurd. Ook een probleem in de ingebouwde PDF-lezer van Firefox is verholpen. Via de kwetsbaarheid kon willekeurige code worden uitgevoerd.

Downloadcontrole

Een nieuwe feature in Firefox 39 is het gebruik van de Safe Browsingtechnologie van Google om alle gedownloade bestanden op malware te controleren. Zodra de gebruiker een applicatiebestand downloadt wordt eerst de digitale handtekening gecontroleerd. Is het bestand gesigneerd, dan vergelijkt Firefox de handtekening met een lijst van bekende, veilige uitgevers. Aan de hand van de lijst kan worden bepaald of een bestand veilig is of malware.

In het geval het bestand niet kan worden geïdentificeerd kan Firefox de Google Safebrowsingdienst vragen of de software veilig is. Hiervoor wordt metadata van de download naar Google gestuurd. De maatregel staat ingeschakeld voor Mac OS X en Linux. Updaten naar Firefox 39 kan via de browser of Mozilla.org.

Thunderbird

Veel van dezelfde problemen waar Firefox mee te maken heeft zijn ook in Thunderbird aanwezig. Mozilla heeft daarom Thunderbird 38.1 aangekondigd. Deze versie is echter nog niet te downloaden. De planning was om deze versie aan het einde van deze week te lanceren, maar Thunderbird 38.1 is nog altijd niet verschenen. Dat houdt in dat gebruikers van de e-mailclient in potentie risico lopen, omdat informatie over de beveiligingslekken al wel bekend is gemaakt. Op het moment van schrijven is Thunderbird 38.0.1 de meest recente versie.

Reacties (15)
03-07-2015, 11:30 door Anoniem
Een nieuwe feature in Firefox 39 is het gebruik van de Safe Browsingtechnologie van Google om alle gedownloade bestanden op malware te controleren. Zodra de gebruiker een applicatiebestand downloadt wordt eerst de digitale handtekening gecontroleerd. Is het bestand gesigneerd, dan vergelijkt Firefox de handtekening met een lijst van bekende, veilige uitgevers. Aan de hand van de lijst kan worden bepaald of een bestand veilig is of malware.

In het geval het bestand niet kan worden geïdentificeerd kan Firefox de Google Safebrowsingdienst vragen of de software veilig is. Hiervoor wordt metadata van de download naar Google gestuurd.

Hmmm... En als je bijv. bankafschriften download bij je bank? Willen wij dit graag aan Google en consorten vertellen?
(op zijn minst de informatie over bij welke bank je zit)
03-07-2015, 12:09 door [Account Verwijderd] - Bijgewerkt: 03-07-2015, 12:12
[Verwijderd]
03-07-2015, 13:00 door Anoniem
De maatregel staat ingeschakeld voor Mac OS X en Linux.
En hoe zit het dan met Windows?
03-07-2015, 13:06 door Anoniem
Door Anak Krakatau:
Door Anoniem:
....
...
safebrowsing is uit te schakelen via de adresbalk in te typen about:config
geef daarna aan dat je voorzichtig zult zijn (lees tekst webpagina firefox wel even door a.u.b.)

zoeken in de bovenste balk via zoekterm: Safebrowsing
dubbelklik op de volgende items:

browser.safebrowsing.downloads.enabled
browser.safebrowsing.enabled
browser.safebrowsing.malware.enabled
services.sync.prefs.sync.browser.safebrowsing.enabled
services.sync.prefs.sync.browser.safebrowsing.malware.enabled

google safebrowsing is nu uitgeschakeld. let op: deze veranderingen doorvoeren is op eigen risico!

Heee hooo (STOP),

Wat is dit voor advies ANAK?
Wat wil je hiermee bereiken?

Wil je hiermee bereiken dat gebruikers niet door hun browser gewaarschuwd worden als ze een al browsend dreigen een malicious url (webpagina) te bezoeken ?! !
Besmetting met bijvoorbeeld Cryptolocker is inderdaad een manier om je privacy niveau sterk te verhogen, kan niemand er voorlopig meer bij (ook Google niet), denk alleen niet dat heel veel mensen blij zijn met een dergelijke oplossing.

Dit was vast je opzet niet achter het advies, maar het is wel de gevaarlijke praktische consequentie van je antwoord!

Ga dus s.v.p. niet zomaar lukraak mensen lopen adviseren om wijzigingen in de about:config aan te brengen (hoezo op welk soort eigen risico?) en feitelijk impliciet te adviseren hun browser beveiliging op te heffen zonder erbij te vertellen wat nou eigenlijk de consequentie is en waarom je dat zou willen met voordelen en nadelen erbij Anak.

Google safebrowsing techniek zit overigens in meerdere browsers en over de werking van de manier waarop safebrowsing werkt bestaan technische en privacy misverstanden die elke keer weer terugkomen, probeer in ieder geval de misverstanden niet te benadrukken maar leg uit en geef de voor en nadelen aan van je advies.

;|
03-07-2015, 14:22 door Anoniem
Door Anoniem:
Door Anak Krakatau:
Door Anoniem:
....
...
safebrowsing is uit te schakelen via de adresbalk in te typen about:config
geef daarna aan dat je voorzichtig zult zijn (lees tekst webpagina firefox wel even door a.u.b.)

zoeken in de bovenste balk via zoekterm: Safebrowsing
dubbelklik op de volgende items:

browser.safebrowsing.downloads.enabled
browser.safebrowsing.enabled
browser.safebrowsing.malware.enabled
services.sync.prefs.sync.browser.safebrowsing.enabled
services.sync.prefs.sync.browser.safebrowsing.malware.enabled

google safebrowsing is nu uitgeschakeld. let op: deze veranderingen doorvoeren is op eigen risico!

Heee hooo (STOP),

Wat is dit voor advies ANAK?
Wat wil je hiermee bereiken?

Wil je hiermee bereiken dat gebruikers niet door hun browser gewaarschuwd worden als ze een al browsend dreigen een malicious url (webpagina) te bezoeken ?! !
Besmetting met bijvoorbeeld Cryptolocker is inderdaad een manier om je privacy niveau sterk te verhogen, kan niemand er voorlopig meer bij (ook Google niet), denk alleen niet dat heel veel mensen blij zijn met een dergelijke oplossing.

Dit was vast je opzet niet achter het advies, maar het is wel de gevaarlijke praktische consequentie van je antwoord!

Ga dus s.v.p. niet zomaar lukraak mensen lopen adviseren om wijzigingen in de about:config aan te brengen (hoezo op welk soort eigen risico?) en feitelijk impliciet te adviseren hun browser beveiliging op te heffen zonder erbij te vertellen wat nou eigenlijk de consequentie is en waarom je dat zou willen met voordelen en nadelen erbij Anak.

Google safebrowsing techniek zit overigens in meerdere browsers en over de werking van de manier waarop safebrowsing werkt bestaan technische en privacy misverstanden die elke keer weer terugkomen, probeer in ieder geval de misverstanden niet te benadrukken maar leg uit en geef de voor en nadelen aan van je advies.

;|

Prima advies van Anak, je moet niet zo zeuren. Ik mag toch hopen dat iedere gebruiker toch een goede virusscanner en iets van een malware scanner heeft? Waarom staat die Google zut standaard aan i.p.v. als keuze?
Komt die hele DRM shit van Mozilla er ook nog eens biuj plus dat Firefox je originele IP adres meestuurt indien je met een VPN connect, maakt dat Firefox en privacy steeds minder met elkaar te maken hebben. Goed dus dat iemand er tenminste iets over kan adviseren. Uiteindelijk is het aan de gebruiker zelf om zijn eigen broek op te houden qua beveiliging,
03-07-2015, 15:07 door [Account Verwijderd] - Bijgewerkt: 03-07-2015, 15:31
[Verwijderd]
03-07-2015, 15:16 door Anoniem
Door Anoniem:
Door Anoniem:
Door Anak Krakatau:
Door Anoniem:
....
...
safebrowsing is uit te schakelen via de adresbalk in te typen about:config
geef daarna aan dat je voorzichtig zult zijn (lees tekst webpagina firefox wel even door a.u.b.)

zoeken in de bovenste balk via zoekterm: Safebrowsing
dubbelklik op de volgende items:

browser.safebrowsing.downloads.enabled
browser.safebrowsing.enabled
browser.safebrowsing.malware.enabled
services.sync.prefs.sync.browser.safebrowsing.enabled
services.sync.prefs.sync.browser.safebrowsing.malware.enabled

google safebrowsing is nu uitgeschakeld. let op: deze veranderingen doorvoeren is op eigen risico!

Heee hooo (STOP),

Wat is dit voor advies ANAK?
Wat wil je hiermee bereiken?

Wil je hiermee bereiken dat gebruikers niet door hun browser gewaarschuwd worden als ze een al browsend dreigen een malicious url (webpagina) te bezoeken ?! !
Besmetting met bijvoorbeeld Cryptolocker is inderdaad een manier om je privacy niveau sterk te verhogen, kan niemand er voorlopig meer bij (ook Google niet), denk alleen niet dat heel veel mensen blij zijn met een dergelijke oplossing.

Dit was vast je opzet niet achter het advies, maar het is wel de gevaarlijke praktische consequentie van je antwoord!

Ga dus s.v.p. niet zomaar lukraak mensen lopen adviseren om wijzigingen in de about:config aan te brengen (hoezo op welk soort eigen risico?) en feitelijk impliciet te adviseren hun browser beveiliging op te heffen zonder erbij te vertellen wat nou eigenlijk de consequentie is en waarom je dat zou willen met voordelen en nadelen erbij Anak.

Google safebrowsing techniek zit overigens in meerdere browsers en over de werking van de manier waarop safebrowsing werkt bestaan technische en privacy misverstanden die elke keer weer terugkomen, probeer in ieder geval de misverstanden niet te benadrukken maar leg uit en geef de voor en nadelen aan van je advies.

;|

Prima advies van Anak, je moet niet zo zeuren. Ik mag toch hopen dat iedere gebruiker toch een goede virusscanner en iets van een malware scanner heeft? Waarom staat die Google zut standaard aan i.p.v. als keuze?
Komt die hele DRM shit van Mozilla er ook nog eens biuj plus dat Firefox je originele IP adres meestuurt indien je met een VPN connect, maakt dat Firefox en privacy steeds minder met elkaar te maken hebben. Goed dus dat iemand er tenminste iets over kan adviseren. Uiteindelijk is het aan de gebruiker zelf om zijn eigen broek op te houden qua beveiliging,

We hebben het over OS X en Linux.
Ik denk dat nog niet 30% van de users een AV heeft geinstalleerd en een klein deel daarvan daadwerkelijk Realtime protectie heeft.

Ik zou niet rotzooien met die setting en gewoon accepteren dat een 3rd party je weerhoudt van malware te downloaden.
Top !
03-07-2015, 15:32 door Anoniem
Door Anoniem:
Door Anoniem:
Door Anak Krakatau:
Door Anoniem:
....
...

Prima advies van Anak, je moet niet

Wat moeten betreft is eerst goed lezen voordat je reageert een aanbeveling
03-07-2015, 15:44 door Anoniem
Door Anak Krakatau:
Heee hooo (STOP),

Wat is dit voor advies ANAK?
Wat wil je hiermee bereiken?

Wil je hiermee bereiken dat gebruikers niet door hun browser gewaarschuwd worden als ze al browsend dreigen een malicious url (webpagina) te bezoeken ?! !
...
Dit was vast je opzet niet achter het advies, maar het is wel de gevaarlijke praktische consequentie van je antwoord!

ik gaf advies op grond van een vraag, ik zei dus niet dat ie het moest doen.
bovendien zei ik dat het op eigen risico was. dus...
..dus is dit soort onzorgvuldigheid okay?

Je bent best in staat te snappen wat ik bedoelde, maar dan moet je wel de moeite nemen te lezen wat ik schreef.
Ik heb er voor de zekerheid een deel van de quote die je wegliet er maar weer bijgeplaatst (hoe vaak kan een tekst herhaald worden op een pagina, nou best vaak.. ).

Het en passant uitschakelen van een functie als safebrowsing is wel wat anders qua risico als dat andere waar je je zo druk om maakte (logjam), de zorgvuldigheid die je op dat onderwerp had ontbrak hier even, een risico als dit moet je uitleggen!
Ook genoeg lezers hier die je daarmee in de problemen zou kunnen helpen en dat is niet de bedoeling.

Dus niks firma blanco verantwoordelijkheid & eigen risico voor de ander.
Beetje oppassen dus met wat je adviseert.
Dus.
03-07-2015, 16:44 door Briolet - Bijgewerkt: 03-07-2015, 16:45
Door Anoniem: Hmmm... En als je bijv. bankafschriften download bij je bank? Willen wij dit graag aan Google en consorten vertellen?

Er zijn weinig banken die hun afschriften in de form van een applicatie of andere executable aanbieden.

Hiervoor wordt metadata van de download naar Google gestuurd…
…De maatregel staat ingeschakeld voor Mac OS X en Linux.

Zijn de metadata van windows dan niet geschikt om betrouwbaar te testen, of wat is anders de reden dat dit alleen op Unix gebaseerde systemen gebeurd?
03-07-2015, 17:26 door Anoniem
Dank je Anak voor de uitleg, want ik zit niet te wachten dat mijn browser even gaat door geven wat en waar ik download. Aangezien niemand dat ene reet aan gaat.
03-07-2015, 22:11 door Joep Lunaar
Als ik het me goed herinner is zit SafeBrowsing zo in elkaar dat Google geen vertrouwelijke informatie verkrijgt.

zie o.a.:
https://developers.google.com/safe-browsing/
en
https://en.wikipedia.org/wiki/Google_Safe_Browsing#Privacy
en de discussie omtrent de implementatie van SafeBrowsing in Firefox
https://bugzilla.mozilla.org/show_bug.cgi?id=329292

Conclusie: er wordt door mijn gewaardeerde collega reageerders een hoop geluld.
03-07-2015, 22:12 door Joep Lunaar
Als ik het me goed herinner is zit SafeBrowsing zo in elkaar dat Google geen vertrouwelijke informatie verkrijgt.

zie o.a.:
https://developers.google.com/safe-browsing/
en
https://en.wikipedia.org/wiki/Google_Safe_Browsing#Privacy
en de discussie omtrent de implementatie van SafeBrowsing in Firefox
https://bugzilla.mozilla.org/show_bug.cgi?id=329292

Conclusie: er wordt door mijn gewaardeerde collega reageerders een hoop geluld.
03-07-2015, 22:28 door Anoniem
Door Anoniem:
Het en passant uitschakelen van een functie als safebrowsing is wel wat anders qua risico als dat andere waar je je zo druk om maakte (logjam), de zorgvuldigheid die je op dat onderwerp had ontbrak hier even, een risico als dit moet je uitleggen!
Ook genoeg lezers hier die je daarmee in de problemen zou kunnen helpen en dat is niet de bedoeling.

Dus de lezers hier zijn niet in staat om de context en toelichting bij de gegeven instructies te begrijpen? Men is toch niet gek! (al willen sommigen hier dat blijkbaar graag suggereren).

Door Anoniem:
Dus niks firma blanco verantwoordelijkheid & eigen risico voor de ander.
Beetje oppassen dus met wat je adviseert.
Dus.

Prima advies van Anak met duidelijke en afdoende toelichting m.b.t. de risico's.
04-07-2015, 10:25 door Briolet
Door Joep Lunaar: Als ik het me goed herinner is zit SafeBrowsing zo in elkaar dat Google geen vertrouwelijke informatie verkrijgt.

Klopt. Er werd standaard helemaal niets naar Google gestuurd bij SafeBrowsing. De nieuwe toevoeging is dat er op Unix gebaseerde systemen wel iets opgestuurd kan gaan worden. Voor de grote groep windows gebruikers is dat echter niet het geval, daarom is het ook een ondoordachte suggestie dit uit te zetten zonder de randvoorwaarden op te geven.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.