Mozilla lanceert Firefox 94 met Site Isolation tegen sidechannel-aanvallen
Mozilla heeft vandaag Firefox 94 gelanceerd die voorzien is van een beveiligingsfeature die gebruikers tegen sidechannel-aanvallen zoals Spectre moet beschermen. Site Isolation zorgt ervoor dat elke website in een apart besturingssysteemproces wordt geladen, wat het lastiger voor kwaadaardige sites maakt om data van andere websites te lezen.
Zonder Site Isolation zou het bijvoorbeeld via kwetsbaarheden als Spectre en Meltdown mogelijk voor malafide sites zijn om toegang tot gegevens van andere sites te krijgen. Om dergelijke aanvallen te voorkomen is het nodig dat elke site op OS-niveau in een apart proces wordt geladen. Firefox maakt al gebruik van verschillende processen om bijvoorbeeld webcontent te laden.
Toch biedt dit volgens Mozilla nog niet voldoende bescherming, omdat het kan voorkomen dat twee verschillende websites hetzelfde besturingssysteemproces gebruiken en zo het procesgeheugen delen. Vervolgens zou het via een kwetsbaarheid als Spectre mogelijk voor de ene site zijn om data van de andere site in dit geheugen te benaderen. Met Site Isolation wordt dit voorkomen.
Naast de bescherming die de maatregel biedt heeft het ook andere voordelen. Door meer websites in gescheiden processen te laden zal de ene website geen invloed hebben op de reactie van websites in andere processen. Door meer processen te gebruiken voor het laden van websites kan ook de belasting over meerdere cpu-cores worden verdeeld, waardoor de onderliggende hardware efficiënter wordt gebruikt. Updaten naar Firefox 94 kan via de automatische updatefunctie en Mozilla.org.
Ik lees er niets over.
Kan iemand een voorbeeld geven?
https://bugzilla.mozilla.org/show_bug.cgi?id=1732358, "Enable Fission pref by default in Firefox 96", vermeldt:
"The Fission rollout will enroll Firefox 94 and 95 users. We will pref on Fission by default in Firefox 96."
Als ik dat goed begrijp, wordt Fission/ Site Isolation uitgerold voor een deel van de Firefox 94 en 95 gebruikers, het wordt pas ingeschakeld voor alle gebruikers in Firefox 96.
Het was nuttig geweest als die details waren vermeld in de Firefox 94 Release Notes.
(Bovenstaande zonet ook door me geplaatst op https://www.wilderssecurity.com/threads/new-firefox-browser-version-released.361562/page-153#post-3046947)
https://bugzilla.mozilla.org/show_bug.cgi?id=1732358, "Enable Fission pref by default in Firefox 96", vermeldt:
"The Fission rollout will enroll Firefox 94 and 95 users. We will pref on Fission by default in Firefox 96."
Als ik dat goed begrijp, wordt Fission/ Site Isolation uitgerold voor een deel van de Firefox 94 en 95 gebruikers, het wordt pas ingeschakeld voor alle gebruikers in Firefox 96.
Het was nuttig geweest als die details waren vermeld in de Firefox 94 Release Notes.
(Bovenstaande zonet ook door me geplaatst op https://www.wilderssecurity.com/threads/new-firefox-browser-version-released.361562/page-153#post-3046947)
Je hebt het goed!
Toen ik vanochtend Firefox 94 installeerde (update) en ik dit nieuwsbericht van Security.nl las, knarste er iets in mijn hoofd dat zei: "Neen dat komt toch pas later. Dat is niet bij alle Firefox 94 distributies maar bij een geselecteerd aantal FF-distributies."
Hier stond al het verlossende woord:
https://www.security.nl/posting/723165/Mozilla+schakelt+Site+Isolation+in+bij+klein+deel+van+Firefox-gebruikers
;-)
off topic:
Nu kijk ik eens wat uitvoeriger in de 'over Firefox' popup en ik lees daarin onder het versie nummer (94.0): Mozilla Firefox voor Linux Mint - mint 1.0
Wat wordt daarmee bedoeld? Is dat een aanduiding van een Firefox template voor Linux Mint o.i.d.?
Iemand?
end off topic
off topic:
Nu kijk ik eens wat uitvoeriger in de 'over Firefox' popup en ik lees daarin onder het versie nummer (94.0): Mozilla Firefox voor Linux Mint - mint 1.0
Wat wordt daarmee bedoeld? Is dat een aanduiding van een Firefox template voor Linux Mint o.i.d.?
Iemand?
end off topic
off topic:
Datzelfde staat er al voor zover ik mij kan herinneren.
Linux Mint past z'n Firefox versie iets aan.
O.a. eigen startpagina en Yahoo zoekmachine, alsook wat andere preferences in:
end off topic
off topic:
Nu kijk ik eens wat uitvoeriger in de 'over Firefox' popup en ik lees daarin onder het versie nummer (94.0): Mozilla Firefox voor Linux Mint - mint 1.0
Wat wordt daarmee bedoeld? Is dat een aanduiding van een Firefox template voor Linux Mint o.i.d.?
Iemand?
end off topic
off topic:
Datzelfde staat er al voor zover ik mij kan herinneren.
Linux Mint past z'n Firefox versie iets aan.
O.a. eigen startpagina en Yahoo zoekmachine, alsook wat andere preferences in:
end off topic
Inderdaad dat moet het zijn. Ik heb daar nooit bij stilgestaan. Beetje suf van mij terwijl dat voor de hand liggend is.
Ik heb al enkele jaren DuckDuck als startpagina en vanochtend zag ik na de update ineens Firefox openen met: https://www.linuxmint.com/start/tessa/
Oeps... daarmee verraad ik meteen mijn versie van Mint ;-)
Inderdaad dat moet het zijn. Ik heb daar nooit bij stilgestaan. Beetje suf van mij terwijl dat voor de hand liggend is.
Ik heb al enkele jaren DuckDuck als startpagina en vanochtend zag ik na de update ineens Firefox openen met: https://www.linuxmint.com/start/tessa/
Oeps... daarmee verraad ik meteen mijn versie van Mint ;-)
Ik heb hem vervangen door deze ppa, omdat Mint - in ieder geval voorheen - achterliep met z'n updates:
https://launchpad.net/~ubuntu-mozilla-security/+archive/ubuntu/ppa
Krijg via de ppa de updates zelfs al een paar dagen voor de officiële release.
end offtopic
Inderdaad dat moet het zijn. Ik heb daar nooit bij stilgestaan. Beetje suf van mij terwijl dat voor de hand liggend is.
Ik heb al enkele jaren DuckDuck als startpagina en vanochtend zag ik na de update ineens Firefox openen met: https://www.linuxmint.com/start/tessa/
Oeps... daarmee verraad ik meteen mijn versie van Mint ;-)
Ik heb hem vervangen door deze ppa, omdat Mint - in ieder geval voorheen - achterliep met z'n updates:
https://launchpad.net/~ubuntu-mozilla-security/+archive/ubuntu/ppa
Krijg via de ppa de updates zelfs al een paar dagen voor de officiële release.
end offtopic
off topic
Ja dat kan best zinnig zijn. Ik had bijvoorbeeld voor Chromium eind 2020 ook een extra PPA toegevoegd. Er schortte toen iets met het tijdige aanbod van updates. In de loop van 2021 is dat opgelost. Chromium is er tegenwoordig weer als de kippen bij met zijn updates ;-)
Vanochtend had ik dus de update voor Firefox en Chromium (95.0.4638.69) tezelfdertijd via mijn dagelijkse sudo apt update.
end off topic
Deze posting is gelocked. Reageren is niet meer mogelijk.
Specialiseer je in Forensisch ICT
Online informatieavond 19 november
Wil jij je specialiseren in digitaal forensisch onderzoek? Je kennis verbreden en tech-nische vaardigheden ontwikkelen? Ontdek de cursus- en opleidingsmogelijkheden van Hogeschool Leiden:
- Bachelor Informatica Forensisch ICT (deeltijd)
- Master Digital Forensics (vol- en deeltijd)
- Module Mobile Forensics
- Module Data Analytics
Interesse? Meld je aan!
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
