image

Tor vergeet kritiek Firefox-lek in Tor Browser

vrijdag 18 december 2015, 10:24 door Redactie, 5 reacties

Het Tor Project heeft voor de tweede keer deze week een nieuwe versie van Tor Browser uitgebracht, omdat het de eerste keer verschillende kwetsbaarheden voor Firefox was vergeten. Tor Browser is de software waarmee gebruikers eenvoudig verbinding met het Tor-netwerk kunnen maken.

Het bestaat uit de software die verbinding met het Tor-netwerk opzet en een aangepaste Firefoxversie aangevuld met extensies als NoScript en HTTPS Everywhere. Afgelopen dinsdag publiceerde Mozilla een nieuwe Firefoxversie waarin meerdere kwetsbaarheden waren verholpen. Het Tor Project brengt op dezelfde dag van een nieuwe Firefoxversie een nieuwe versie van Tor Browser uit, aangezien kwetsbaarheden in Firefox ook in Tor Browser aanwezig zijn. Dinsdag verscheen Tor Browser 5.0.5 die de beveiligingsupdates van Mozilla voor Firefox bevatte.

Nu meldt het Tor Project dat het verschillende belangrijke beveiligingsupdates voor Firefox in deze versie van Tor Browser was vergeten. Het gaat onder andere om een kritieke kwetsbaarheid waardoor een aanvaller willekeurige code op het systeem kan uitvoeren, zoals het installeren van malware, waarbij het bezoeken van een website voldoende is. Daarop is nu Tor Browser 5.0.6 gelanceerd. Het Tor Project, de organisatie die verantwoordelijk voor het Tor-netwerk en Tor Browser is, maakt excuses voor het ongemak. Gebruikers kunnen via Torproject.org en de automatische updatefunctie van Tor Browser upgraden. Dagelijks maken 2,5 miljoen mensen gebruik van het Tor-netwerk.

Reacties (5)
18-12-2015, 16:34 door Anoniem
Weet iemand wat het tweede gemiste lek is? Er staat "This release features important security updates to Firefox which we missed in our update to Tor Browser 5.0.5. We are sorry for this inconvenience." Het eerste gelinkte lek waar Redactie ook naar wijst is CVE-2015-7214. Het tweede lek wijst naar https://hg.mozilla.org/releases/mozilla-esr38/rev/f6c1116a4295 maar ik zie geen CVE.
18-12-2015, 19:38 door Anoniem
Het Tor Project heeft voor de tweede keer deze week een nieuwe versie van Tor Browser uitgebracht, omdat het de eerste keer verschillende kwetsbaarheden voor Firefox was vergeten.

Volgens mij maakt Tor melding van één (= 1) wijziging.

https://blog.torproject.org/blog/tor-browser-506-released
This change is the only one in the changelog since 5.0.5:

All Platforms
Bug 17877: Tor Browser 5.0.5 is using the wrong Mozilla build tag

1 wijziging.

Nu meldt het Tor Project dat het verschillende belangrijke beveiligingsupdates voor Firefox in deze versie van Tor Browser was vergeten.

Welke dan nog meer?
De lijst op dezelfde changelog pagina op blog Torproject eronder betreft namelijk een herhaling van de lijst die waren doorgevoerd in de vorige versie 5.0.5

The changes made in 5.0.5 are the following:

All Platforms
...

Dan een techneuten developer vraag : "is using the wrong Mozilla build tag" gelijk aan
Het gaat onder andere om een kritieke kwetsbaarheid waardoor een aanvaller willekeurige code op het systeem kan uitvoeren, zoals het installeren van malware, waarbij het bezoeken van een website voldoende is.
Is er dan een verkeerde bron gebruikt of is er verwezen naar een verkeerde bron?
Wie kan het uitleggen?
20-12-2015, 16:04 door Anoniem
Volgens mij mis je een stukje uit de Tor-posting. Klik op de link in het artikel, dan kom je uit bij het Tor-blog. Daar staat:

"This release features important security updates to Firefox which we missed in our update to Tor Browser 5.0.5. We are sorry for this inconvenience."
20-12-2015, 19:54 door Anoniem
Door Anoniem: Volgens mij mis je een stukje uit de Tor-posting. Klik op de link in het artikel, dan kom je uit bij het Tor-blog. Daar staat:

"This release features important security updates to Firefox which we missed in our update to Tor Browser 5.0.5. We are sorry for this inconvenience."
Volgens mij mis jij hier de stukjes dat ik hier nota bene quote en nog de informatie die onder jezelf aangedragen linkje te vinden is!

Hier gequoted
This change is the only one in the changelog since 5.0.5:

All Platforms
Bug 17877: Tor Browser 5.0.5 is using the wrong Mozilla build tag

Nog meer quotes en op punten ook iets verwarrender

On December 19th, 2015 gk said:

We did not change anything in 5.0.6 with respect to HTTPS-Everywhere. Just two tiny Firefox patches make the difference between both releases. Maybe you updated to HTTPS-Everywhere 5.1.2 meanwhile and the bug is in this new version of the extension?

reply

En maar ook dan weer deze eerdere opmerking in de reacties

On December 18th, 2015 gk said:

We were already building when I realized there is a new HTTPS-Everywhere version. As the fix in 5.0.6 is rather important and I have a hard deadline for getting all the releases out today this had to wait, sorry.

reply

Tja, nogmaals

Wat betekent het gebruiken van de "wrong Mozilla build tag" ?
Ik vermoed dat het antwoord hierin verscholen ligt.

Wie kan dit uitleggen? Echt niemand?
20-12-2015, 23:15 door Anoniem
Vreemd idd. Maar gk is de poster van de release notes en als hij stelt dat er twee firefox patches in zitten (ook al zijn ze tiny), die ook boven in de release notes worden genoemd dan lijkt me dat toch echt het geval....
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.