Tor vergeet kritiek Firefox-lek in Tor Browser
Het Tor Project heeft voor de tweede keer deze week een nieuwe versie van Tor Browser uitgebracht, omdat het de eerste keer verschillende kwetsbaarheden voor Firefox was vergeten. Tor Browser is de software waarmee gebruikers eenvoudig verbinding met het Tor-netwerk kunnen maken.
Het bestaat uit de software die verbinding met het Tor-netwerk opzet en een aangepaste Firefoxversie aangevuld met extensies als NoScript en HTTPS Everywhere. Afgelopen dinsdag publiceerde Mozilla een nieuwe Firefoxversie waarin meerdere kwetsbaarheden waren verholpen. Het Tor Project brengt op dezelfde dag van een nieuwe Firefoxversie een nieuwe versie van Tor Browser uit, aangezien kwetsbaarheden in Firefox ook in Tor Browser aanwezig zijn. Dinsdag verscheen Tor Browser 5.0.5 die de beveiligingsupdates van Mozilla voor Firefox bevatte.
Nu meldt het Tor Project dat het verschillende belangrijke beveiligingsupdates voor Firefox in deze versie van Tor Browser was vergeten. Het gaat onder andere om een kritieke kwetsbaarheid waardoor een aanvaller willekeurige code op het systeem kan uitvoeren, zoals het installeren van malware, waarbij het bezoeken van een website voldoende is. Daarop is nu Tor Browser 5.0.6 gelanceerd. Het Tor Project, de organisatie die verantwoordelijk voor het Tor-netwerk en Tor Browser is, maakt excuses voor het ongemak. Gebruikers kunnen via Torproject.org en de automatische updatefunctie van Tor Browser upgraden. Dagelijks maken 2,5 miljoen mensen gebruik van het Tor-netwerk.
Volgens mij maakt Tor melding van één (= 1) wijziging.
https://blog.torproject.org/blog/tor-browser-506-released
All Platforms
Bug 17877: Tor Browser 5.0.5 is using the wrong Mozilla build tag
1 wijziging.
Welke dan nog meer?
De lijst op dezelfde changelog pagina op blog Torproject eronder betreft namelijk een herhaling van de lijst die waren doorgevoerd in de vorige versie 5.0.5
All Platforms
...
Dan een techneuten developer vraag : "is using the wrong Mozilla build tag" gelijk aan
Wie kan het uitleggen?
"This release features important security updates to Firefox which we missed in our update to Tor Browser 5.0.5. We are sorry for this inconvenience."
"This release features important security updates to Firefox which we missed in our update to Tor Browser 5.0.5. We are sorry for this inconvenience."
Hier gequoted
All Platforms
Bug 17877: Tor Browser 5.0.5 is using the wrong Mozilla build tag
Nog meer quotes en op punten ook iets verwarrender
On December 19th, 2015 gk said:
We did not change anything in 5.0.6 with respect to HTTPS-Everywhere. Just two tiny Firefox patches make the difference between both releases. Maybe you updated to HTTPS-Everywhere 5.1.2 meanwhile and the bug is in this new version of the extension?
reply
En maar ook dan weer deze eerdere opmerking in de reacties
On December 18th, 2015 gk said:
We were already building when I realized there is a new HTTPS-Everywhere version. As the fix in 5.0.6 is rather important and I have a hard deadline for getting all the releases out today this had to wait, sorry.
reply
Tja, nogmaals
Wat betekent het gebruiken van de "wrong Mozilla build tag" ?
Ik vermoed dat het antwoord hierin verscholen ligt.
Wie kan dit uitleggen? Echt niemand?
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
