Nieuws
image

Mozilla dicht ernstig Firefox-lek op 20 september

zaterdag 17 september 2016, 08:42 door Redactie, 8 reacties

Mozilla zal aanstaande dinsdag 20 september met een beveiligingsupdate komen voor een ernstige kwetsbaarheid waardoor een aanvaller gebruikers die extensies hebben geïnstalleerd met malware kan infecteren. Het beveiligingslek werd gisteren al in Tor Browser gepatcht, dat op Firefox is gebaseerd.

Firefox installeert automatisch updates voor extensies via een https-verbinding. Daarbij maakt de browser ook gebruik van certificaatpinning voor het domein addons.mozilla.org. Certificaatpinning zorgt ervoor dat Firefox alleen certificaten accepteert die door bepaalde certificaatautoriteiten zijn uitgegeven. In het geval een aanvaller toch een certificaat voor addons.mozilla.org weet te bemachtigen, kan hij gebruikers niet via het updaten van extensies aanvallen, aangezien Firefox het gebruikte certificaat niet zal accepteren.

Door een fout in Firefox blijkt dit proces sinds 10 september dit jaar voor Firefox 48 en sinds 3 september dit jaar voor Firefox ESR 45.3.0 niet meer te werken. Een aanvaller die zich tussen Firefoxgebruikers en het internet bevindt en over een ssl-certificaat voor addons.mozilla.org beschikt kan zo kwaadaardige updates voor geïnstalleerde extensies verspreiden die automatisch bij de gebruiker worden geïnstalleerd. Het probleem speelt niet bij Firefox-gebruikers die geen extensies hebben geïnstalleerd. Bij veel gebruikers is dit echter wel het geval.

Volgens Mozilla zijn er geen aanwijzingen dat er een vals certificaat voor addons.mozilla.org is uitgegeven. Het zou echter vooral een probleem voor Tor Browser-gebruikers kunnen zijn die zich tegen landen en opsporingsdiensten willen beschermen. Daarom kwam het Tor Project gisteren al met een update voor Tor Browser. De update die het probleem in Firefox verhelpt zal Mozilla aanstaande dinsdag uitrollen.

Reacties (8)
17-09-2016, 09:28 door [Account Verwijderd]
Dank voor de berichtgeving!
Toch maar even van alle Plug-ins automatisch updaten uitgezet.
17-09-2016, 11:13 door Anoniem
Op een slechter moment kon het niet komen. Precies op die datum komt de grote upgrade uit van MacOS Sierra.
Dat wordt een hele drukke dag van uittesten.
18-09-2016, 16:38 door Anoniem
IK heb een macbook pro en een Imac,ik hoop dat alles vlekkeloos werkt van wat ik heb geinstalleerd nu nog op El capitan dat het zonder kleerscheuren werkt op Mac Os Sierra.
Dinsdag komt Sierra uit.
Ik ben benieuwd wat Sierra brengt aan verbeteringnen,er zullen vast dingen zijn waar ik niet om gevraagd heb,maar gelukkig hoef ik die niet te gebruiken.
18-09-2016, 16:54 door Anoniem
Tja ernstig... Als je een tegenstander hebt die willekeurige ssl certificaten kan aanmaken heb je misschien sowieso wel een probleem...
18-09-2016, 21:19 door Anoniem
Door Anoniem: Op een slechter moment kon het niet komen. Precies op die datum komt de grote upgrade uit van MacOS Sierra.
Dat wordt een hele drukke dag van uittesten.
Door Anoniem: IK heb een macbook pro en een Imac,ik hoop dat alles vlekkeloos werkt van wat ik heb geinstalleerd nu nog op El capitan dat het zonder kleerscheuren werkt op Mac Os Sierra.
Dinsdag komt Sierra uit.
Ik ben benieuwd wat Sierra brengt aan verbeteringnen,er zullen vast dingen zijn waar ik niet om gevraagd heb,maar gelukkig hoef ik die niet te gebruiken.

Als je het misschien heel snel uitspreekt klinkt macossierra
als mozilla. Even oefenen ;)
Maar geloof me het heeft weinig met elkaar te maken.
Mozilla loopt weliswaar flink te kloten de laatste anderhalf jaar maar een heel Mac Os X krijgen ze nog niet plat.

Verder is het verstandig op zijn minst te wachten met een upgrade naar Sierra tot de eerste update ervan uitkomt. Dat is meestal al binnen een maand of twee.
Zo mis je in ieder geval eventuele eerste belangrijke bugs of profiteer je direct van de juiste verfijningen.

Direct een uitgekomen upgrade van Apple installeren?
Niet doen, eerst even de kat uit de boom kijken is verstandig.
Dit geldt ook voor andere (merk)software upgrades overigens.
18-09-2016, 21:22 door [Account Verwijderd] - Bijgewerkt: 18-09-2016, 21:22
Door Anoniem: IK heb een macbook pro en een Imac,ik hoop dat alles vlekkeloos werkt van wat ik heb geinstalleerd nu nog op El capitan dat het zonder kleerscheuren werkt op Mac Os Sierra.
Dinsdag komt Sierra uit.
Ik ben benieuwd wat Sierra brengt aan verbeteringnen,er zullen vast dingen zijn waar ik niet om gevraagd heb,maar gelukkig hoef ik die niet te gebruiken.

Als je bedoelt m.b.t. FireFox - anders reageer je hier toch ècht off-topic - In totaal ben ik 4 keer overgegaan naar een nieuwe versie van OSX, in hinkstapsprong als je begrijpt wat ik bedoel, en heb nog nooit één probleem met FireFox ondervonden daardoor.
Ik gebruik FF ik dacht vanaf v.3 of v.4 (2009) dus héél waarschijnlijk - volgens mijn ervaringen met OSX upgrades - werkt FF woensdag nog net zo als voorheen.
19-09-2016, 10:02 door [Account Verwijderd]
Gisteravond duurde het starten van FireFox wat langer en zag dat er nog een Tab was geladen. De url van deze pagina was:
moz-extension://904c050e-e3b8-4f45-b126-b72093751e55/-blank.html
Screenshot: http://i.imgur.com/igrdWr7.jpg
Vanwege de toevoeging 'blank' verwachtte ik al dat de pagina leeg was maar toch uitgetest: Rechtsklikken in het betreffende venster en Pagina-info bekijken kiezen leverde geen info op net zo min als rechtsklikken en kiezen voor Paginabron bekijken
Omdat ik tot en met dinsdag automatisch updaten van Extensies heb uitgeschakeld vanwege het momentele updatelek in FireFox vind ik deze pagina vreemd, te meer omdat in de FF profielmap een extensie met deze ID niet voorkomt.

Wie kan hier - in het algemeen belang - wat meer over zeggen?
20-09-2016, 18:41 door [Account Verwijderd]
Update naar v.49 is beschikbaar.

Zojuist 18:30 uur binnengehaald en toegepast. Tot nu, maar dat is wel heel snel geoordeeld, geen problemen.
Hopelijk dus geen 'haastpatch' vanwege het ernstige lek in de vorige versie.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Zoeken
search
Certified Secure