image

WikiLeaks deelt al gepatchte Firefox-exploits CIA met Mozilla

donderdag 20 april 2017, 12:27 door Redactie, 1 reacties

WikiLeaks heeft Firefox-exploits die van de CIA afkomstig zijn met Mozilla gedeeld, maar volgens de opensource-ontwikkelaar gaat het om zeer oude exploits die geen risico meer voor gebruikers vormen. Begin maart onthulde de klokkenluiderssite allerlei documenten van de Amerikaanse inlichtingendienst.

Daaruit blijkt dat de CIA over allerlei malware, exploits en hacktools bezit om systemen mee aan te vallen. WikiLeaks kondigde vervolgens aan dat het de informatie met techbedrijven zou gaan delen, zodat die maatregelen kunnen nemen om hun gebruikers te beschermen. Ook Mozilla ontving dergelijke informatie. Het gaat om JavaScript-bestanden die zonder verdere context werden opgestuurd, aldus Firefox-ontwikkelaar Daniel Veditz.

Verder onderzoek wijst uit dat twee van de JavaScript-bestanden misbruik maken van een Firefox-lek dat in 2014 tijdens de Pwn2Own-hackwedstrijd werd gevonden en niet veel later werd gepatcht. Pwn2Own is een jaarlijks terugkerende wedstrijd waarbij onderzoekers worden betaald voor het demonstreren van kwetsbaarheden in browsers en browserplug-ins. Gevonden kwetsbaarheden worden met de softwareontwikkelaar in kwestie gedeeld, zodat die een update kunnen ontwikkelen. Iets wat ook in dit geval gebeurde.

Een ander JavaScript-bestand dat Mozilla ontving bleek alleen te werken met ECMAScript for XML (E4X), dat sinds Firefox 21 niet meer in de browser aanwezig is. Firefox 21 verscheen op 14 mei 2013. De bestanden werden al een maand geleden met Mozilla gedeeld, maar de opensource-ontwikkelaar heeft de informatie nu via Bugzilla openbaar gemaakt. Bugzilla is Mozilla's platform voor het melden van beveiligingslekken en andere bugs en wordt door Firefox-ontwikkelaars gebruikt om over kwetsbaarheden en updates te overleggen.

Reacties (1)
20-04-2017, 12:55 door Anoniem
Firefox dodelijk lek

Men kan er wel publiek met een ander onderwerp overheen lullen, maar heb je de laatste werkelijk ongehoorde patchlist gezien??
Nog nooit zo'n grote verzameling kritische lekken bij elkaar gezien in een firefox sub-update.

Security vulnerabilities fixed in Firefox ESR 45.9
https://www.mozilla.org/en-US/security/advisories/mfsa2017-11/

Een groot relaas van critical en high labels.
Volkomen niet meer te verdedigen lek.
En maar ouwehoeren over wikileaks.

Bij het vergaand afbouwen van support en overstappen naar een chrome model dat de meesten niet willen hoog tijd voor een browser c.q organisatie-euthanasie?
Zowel het beleid als het product is immers verre van geloofwaardig meer.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.