image

Mozilla dicht meerdere lekken in Firefox 40

vrijdag 28 augustus 2015, 10:08 door Redactie, 6 reacties

Mozilla heeft een tussentijdse en ongeplande update voor Firefox uitgebracht die meerdere lekken verhelpt. Via één van de twee verholpen kwetsbaarheden zou een aanvaller in het ergste geval systemen volledig kunnen overnemen. Het bezoeken van een kwaadaardige website was in dit geval voldoende.

Deze kritieke kwetsbaarheid was door twee onderzoekers onafhankelijk van elkaar gevonden. Daarnaast is er ook een beveiligingslek verholpen waardoor kwaadaardige websites add-ons in de browser konden installeren waarbij de gebruiker zou denken dat ze van een betrouwbare website zoals addons.mozilla.org afkomstig waren. Verder zijn er verschillende niet-security gerelateerde bugs verholpen, waaronder een probleem waardoor Firefox tijdens het laden op Windows crashte.

Gebruikers krijgen dan ook het advies om naar Firefox 40.0.3 te upgraden. Dit kan via de automatische updatefunctie van de browser of Mozilla.org. Firefox 40 verscheen op 11 augustus. De volgende Firefox-versie, Firefox 41, staat gepland voor 21 september. Mozilla besloot vanwege de gevonden problemen hier niet op te wachten en heeft nu Firefox 40.0.3 uitgerold. Vanwege de update is er ook een nieuwe versie van Tor Browser verschenen. Dit is de browser waarmee van het Tor-netwerk gebruik kan worden gemaakt en die op Firefox is gebaseerd.

Reacties (6)
28-08-2015, 10:53 door Anoniem
Ik zou het prettig vinden als de mededeling dat een systeem helemaal kan worden overgenomen gereserveerd wordt voor situaties waarbij de aanvaller root/administrator-rechten kan verkrijgen. Daar lijkt me hier geen sprake van, als die rechten vanuit Firefox (net als vanuit elke andere applicatie die ze niet nodig heeft) verkregen kunnen worden is er een lek buiten Firefox bij betrokken.

Ik snap de ernst van lekken waarbij alle rechten van een gebruiker beschikbaar zijn, daar kan een hoop schade mee worden aangericht. Maar minder dan het hele systeem kunnen overnemen is domweg niet hetzelfde als het hele systeem kunnen overnemen, en zeggen dat dat wel zo is is een verkeerde voorstelling van zaken. Ook als de meeste computers als single-usersysteem gebruikt worden, ook als de gemiddelde computergebruiker het onderscheid niet snapt.
28-08-2015, 11:27 door Anoniem
Mozilla noemt het lek zelf critical. "Vulnerability can be used to run attacker code and install software, requiring no user interaction beyond normal browsing."
28-08-2015, 12:28 door Anoniem
Ze zijn het misschien niet verplicht i.v.m. hun nieuwe ESR 38 serie,
maar het zou wel wenselijk zijn als ze ook even vertellen of FF31.8.0.ESR hiervoor wel of niet kwetsbaar is.

Of ben ik de enige die graag nog wat langer oude stabiele versies met minder toegevoegde overbodige functies gebruikt?
28-08-2015, 15:05 door Anoniem
@12:28

Oudere versies gebruiken is nooit aan te raden op een systeem, het wordt tijd dat er een nieuwe modulaire browser opstaat (pale moon en Waterfox zijn wel ok) zonder al die Bloatware wat Fire Fox tegenwoordig vol mee zit. Bovendien hebben ze het 'painting' probleem onder Ubunutu met deze update wederom niet gefixed, verdomd irritant als je van tab veranderd de vorige pagina nog gewoon over je scherm heeft blijft staan.
28-08-2015, 16:42 door Anoniem
Door Anoniem: @12:28
Bovendien hebben ze het 'painting' probleem onder Ubunutu met deze update wederom niet gefixed, verdomd irritant als je van tab veranderd de vorige pagina nog gewoon over je scherm heeft blijft staan.
Wat voor probleem? Ik gebruik ook Ubuntu met Firefox maar ik begrijp niet precies wat je bedoelt met 'painting'.
29-08-2015, 11:21 door [Account Verwijderd] - Bijgewerkt: 29-08-2015, 11:21
[Verwijderd]
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.