image

Mozilla verhelpt Firefox-kwetsbaarheid die gebruiker systeemrechten geeft

dinsdag 8 februari 2022, 17:07 door Redactie, 16 reacties

Mozilla heeft vandaag een nieuwe versie van Firefox uitgebracht waarin meerdere kwetsbaarheden zijn verholpen, waaronder een beveiligingslek dat een gebruiker systeemrechten kan geven. Het plan voor het automatisch downloaden van bestanden is uitgesteld naar de volgende Firefox-versie.

Met Firefox 97 zijn een dozijn kwetsbaarheden in de browser verholpen. In de updater-service van de Windowsversie van Firefox zit een kwetsbaarheid, aangeduid als CVE-2022-22753, waardoor een gebruiker schrijftoegang tot een willekeurige directory kan krijgen. Hierdoor kan de gebruiker uiteindelijk systeemrechten krijgen. De impact van dit beveiligingslek is beoordeeld met "high".

Dat geldt ook voor een andere kwetsbaarheid (CVE-2022-22754) in alle Firefox-versies waardoor een malafide extensie via een update allerlei nieuwe permissies kan krijgen, zonder dat de gebruiker het dialoogvenster te zien krijgt waarin om toestemming wordt gevraagd.

Verder was Mozilla van plan om met Firefox 97 een aanpassing door te voeren waardoor bestanden automatisch worden gedownload, zonder dat gebruikers nog een dialoogvenster te zien krijgen. Deze aanpassing is nu doorgeschoven naar Firefox 98. Updaten naar de nieuwste Firefox-versie kan via de automatische updatefunctie of Mozilla.org.

Reacties (16)
08-02-2022, 18:44 door Anoniem
Prutsers, dus dat zat in de update service, gelukkig dat ik die niet heb draaien.
08-02-2022, 19:42 door [Account Verwijderd]
Oef, alweer een Update? ;-)

De versies struikelen zo'n beetje over elkaar heen de laatste weken. ;-)

14-01-'22 versie 96.0
18-01-'22 versie 96.01
27-01-'22 versie 96.02 en één dag later....
28-01-'22 versie 96.03

En nu alweer een. Als de version updates in dit tempo doorgaan zitten we in december op Firefox v.120 (twee versies per maand)
08-02-2022, 19:46 door Anoniem
Door Anton Bleekers: Oef, alweer een Update? ;-)

De versies struikelen zo'n beetje over elkaar heen de laatste weken. ;-)

14-01-'22 versie 96.0
18-01-'22 versie 96.01
27-01-'22 versie 96.02 en één dag later....
28-01-'22 versie 96.03

En nu alweer een. Als de version updates in dit tempo doorgaan zitten we in december op Firefox v.120 (twee versies per maand)

Minstens zo opvallend dat het bijna allemaal updates zijn die betrekking hebben op een combinatie met een specifiek OS
08-02-2022, 20:24 door [Account Verwijderd]
Door Anoniem:
Door Anton Bleekers: Oef, alweer een Update? ;-)

De versies struikelen zo'n beetje over elkaar heen de laatste weken. ;-)

14-01-'22 versie 96.0
18-01-'22 versie 96.01
27-01-'22 versie 96.02 en één dag later....
28-01-'22 versie 96.03

En nu alweer een. Als de version updates in dit tempo doorgaan zitten we in december op Firefox v.120 (twee versies per maand)

Minstens zo opvallend dat het bijna allemaal updates zijn die betrekking hebben op een combinatie met een specifiek OS

Anoniem, 19:46 uur: Je kletst diepgaand uit je nek!

Windows:

https://ftp.mozilla.org/pub/firefox/releases/96.0.1/win64/ - https://ftp.mozilla.org/pub/firefox/releases/96.0.1/win64/nl/
https://ftp.mozilla.org/pub/firefox/releases/96.0.2/win64/ - https://ftp.mozilla.org/pub/firefox/releases/96.0.2/win64/nl/
https://ftp.mozilla.org/pub/firefox/releases/96.0.3/win64/ - https://ftp.mozilla.org/pub/firefox/releases/96.0.3/win64/nl/

MacOs:

https://ftp.mozilla.org/pub/firefox/releases/96.0.1/mac/nl/
https://ftp.mozilla.org/pub/firefox/releases/96.0.2/mac/nl/
https://ftp.mozilla.org/pub/firefox/releases/96.0.3/mac/nl/


Nog een fijne (klets)avond verder!
08-02-2022, 22:37 door Anoniem
Door Anton Bleekers:
De versies struikelen zo'n beetje over elkaar heen de laatste weken. ;-)
Je komt denk ik pas kijken in de IT, Anton? Chrome krijgt namelijk net zo vaak updates:
"Chrome is updated every four weeks for major releases and every two to three weeks for minor releases"
Dat is is dus even vaak als Firefox:
"the regular ("rapid") releases are updated with new features and performance enhancements every four weeks"

Door Anton Bleekers: Oef, alweer een Update? ;-)
14-01-'22 versie 96.0
18-01-'22 versie 96.01
27-01-'22 versie 96.02 en één dag later....
28-01-'22 versie 96.03
Bij Chrome gaat het niet veel anders hoor..
01-02-'22 versie 98.0.4758
28-01-'22 versie 97.0.4692.102
18-01-'22 versie 97.0.4692.91
06-01-'22 versie 97.0.4692.77
Door Anton Bleekers:
Als de version updates in dit tempo doorgaan zitten we in december op Firefox 120 (twee versies per maand)
Er komen helemaal geen twee versies per maand. Aan het einde van het jaar zal Firefox 107 uitkomen:
https://wiki.mozilla.org/Release_Management/Calendar
Bovendien: juist hoe meer updates, hoe beter. Of blijf jij liever 3 maanden op een ongepatchte versie werken?
08-02-2022, 23:12 door Piscatorius
Door Anton Bleekers: Als de version updates in dit tempo doorgaan zitten we in december op Firefox v.120 (twee versies per maand).

Zo erg zal het zeker niet zijn. Als alles volgens plan verloopt, zal halverwege november 2022 Firefox 107 uitkomen.

Link: https://wiki.mozilla.org/Release_Management/Calendar
08-02-2022, 23:38 door Anoniem
Dat krijg je als Microsoft update Microsoft only is. Dan gaat niet Microsoft software zichzelf updaten. Waardeloos of te wel prut.
09-02-2022, 08:20 door Anoniem
Door Anoniem: Prutsers, dus dat zat in de update service, gelukkig dat ik die niet heb draaien.
Als je het beter kan, maak dan zelf een browser.
09-02-2022, 08:57 door Anoniem
Door Anoniem: Prutsers, dus dat zat in de update service, gelukkig dat ik die niet heb draaien.
Bij het feit dat allerhande software het wiel zelf moet uitvinden voor een update proces(in plaats van er mogelijk aan bij kunnen dragen) zou ik een falen op zich van het besturingssysteem noemen, waardoor bij het opstarten van het systeem een hele bandenstapel in de hens gestoken zal worden om bij te geraken met de huidige updates, met al het gebruiksongemak en een verhoogt risico van dien zoals nu.

En schakel je het per programma uit omdat het aannemelijk schijt irritant is een update melding te krijgen(onderbroken te worden) op het moment dat je eventjes een programma wilt gebruiken, of geen behoefte hebt aan dikke opstartstront door alle achtergrond services hiervoor, wordt dat er niet minder op.
En truken als fastboot om zulk soort ellende weg te moffelen brengt weer initialisatie problemen van zowel HW/SW.

Als het besturingssysteem er geen voorzieningen voor treft om met de nodige bron vrijheid gestroomlijnd te updaten in één slag, blijft het een onnodige, zichzelf update injecterende software armoe.
09-02-2022, 10:01 door Anoniem
Door Anoniem: Dat krijg je als Microsoft update Microsoft only is. Dan gaat niet Microsoft software zichzelf updaten. Waardeloos of te wel prut.
Hoe wil je het dan doen? Dat alle vendors van software de updates via Microsoft laten lopen? En dan klagen wanneer je programma X het niet doet na de updates en Microsoft de schuld geven, want het zat in een Microsoft update? Terwijl het mogelijk een stuk prutswerk is van de maker van X, dat alleen via het proces van Microsoft meekomt. Of een malafide beheerder bij X lanceert een "update" die via Microsoft wordt uitgerold en de computer vernaggelt, omdat de Microsoft updates automatisch met een hoger rechtenniveau draaien? Dan breekt ook de pleuris uit, want iedereen verlangt dan, dat Microsoft alle tigduizend softwarepakketten eerst test.
09-02-2022, 10:20 door Anoniem

Als er een bug in de Windows-versie wordt opgelost, krijgen ook de OSX- en Linux-versie een update omdat anders de versienummers uiteen gaan lopen.

Nou is de stelling van anoniem ook wel [url="https://yourlogicalfallacyis.com/nl/verkeerde-oorzaak"]heel kort door de bocht[/url], maar jouw redenatie klopt dus ook niet.
09-02-2022, 11:19 door [Account Verwijderd] - Bijgewerkt: 09-02-2022, 11:31
Door Piscatorius:
Door Anton Bleekers: Als de version updates in dit tempo doorgaan zitten we in december op Firefox v.120 (twee versies per maand).

Zo erg zal het zeker niet zijn. Als alles volgens plan verloopt, zal halverwege november 2022 Firefox 107 uitkomen.

Link: https://wiki.mozilla.org/Release_Management/Calendar

Och, weet je, ik houd, en wie niet, zoveel mogelijk bij wanneer - Security! - en hoe vaak updates uitkomen voor software die ik gebruik, en ik vond het achteraf grappig om te zien dat een dag na FF versie 96.02, versie FF 96.03 werd aangeboden. Achteraf....want in eerste instantie dacht ik: "Waát? Ik heb die update gisteravond toegepast, Is er iets misgegaan?"
Voor zover ik mij kon herinneren had ik in Firefox jarenlang niet zo'n korte bijwerkinterval meegemaakt, vandaar.

Had niet gedacht dat anderen hier er zo intens serieus op kunnen reageren en dan met een vooroordeel zoals anoniem van gisteren 22:37 uur. Ik ben overigens sinds eind jaren tachtig vorige eeuw, nog nooit komen kijken in de IT, maar ben er sinds die tijd dankbaar voor dat het (IT) bestaat. :-)
09-02-2022, 19:10 door Anoniem
Door Anoniem:
Door Anoniem: Dat krijg je als Microsoft update Microsoft only is. Dan gaat niet Microsoft software zichzelf updaten. Waardeloos of te wel prut.
Hoe wil je het dan doen? Dat alle vendors van software de updates via Microsoft laten lopen? En dan klagen wanneer je programma X het niet doet na de updates en Microsoft de schuld geven, want het zat in een Microsoft update? Terwijl het mogelijk een stuk prutswerk is van de maker van X, dat alleen via het proces van Microsoft meekomt. Of een malafide beheerder bij X lanceert een "update" die via Microsoft wordt uitgerold en de computer vernaggelt, omdat de Microsoft updates automatisch met een hoger rechtenniveau draaien? Dan breekt ook de pleuris uit, want iedereen verlangt dan, dat Microsoft alle tigduizend softwarepakketten eerst test.
De windows fanclub maakt altijd denkfouten. Hoezo zou MS dat moeten testen? Testen moet de leverancier zelf doen. Dat is alleen lastiger omdat windowsupdate en windows geen open source is. Een voorbeeld waar het prima gaat is de linuxomgeving.
09-02-2022, 20:12 door Anoniem
Door Anton Bleekers:
Door Anoniem:
Door Anton Bleekers: Oef, alweer een Update? ;-)

De versies struikelen zo'n beetje over elkaar heen de laatste weken. ;-)

14-01-'22 versie 96.0
18-01-'22 versie 96.01
27-01-'22 versie 96.02 en één dag later....
28-01-'22 versie 96.03

En nu alweer een. Als de version updates in dit tempo doorgaan zitten we in december op Firefox v.120 (twee versies per maand)

Minstens zo opvallend dat het bijna allemaal updates zijn die betrekking hebben op een combinatie met een specifiek OS

Anoniem, 19:46 uur: Je kletst diepgaand uit je nek!

Windows:

https://ftp.mozilla.org/pub/firefox/releases/96.0.1/win64/ - https://ftp.mozilla.org/pub/firefox/releases/96.0.1/win64/nl/
https://ftp.mozilla.org/pub/firefox/releases/96.0.2/win64/ - https://ftp.mozilla.org/pub/firefox/releases/96.0.2/win64/nl/
https://ftp.mozilla.org/pub/firefox/releases/96.0.3/win64/ - https://ftp.mozilla.org/pub/firefox/releases/96.0.3/win64/nl/

MacOs:

https://ftp.mozilla.org/pub/firefox/releases/96.0.1/mac/nl/
https://ftp.mozilla.org/pub/firefox/releases/96.0.2/mac/nl/
https://ftp.mozilla.org/pub/firefox/releases/96.0.3/mac/nl/


Nog een fijne (klets)avond verder!

Heb je gekeken wat de kwetsbaarheden zijn, ik denk van niet.
De Firefox versies voor alle OS'en blijven in sync met elkaar dus als er een bug in de MacOS versie opgelost wordt krijgt de Windows versie ook een update en vise versa.

Dus Anton Bleekers niet meteen zo van leer trekken op basis van verkeerde conclusies.
10-02-2022, 18:59 door Anoniem
wat een gezever allemaal over update's conclusies. We maken allemaal aannames, en iedereen heeft een andere perceptie. Het maakt niet uit wie er gelijk heeft want je moet blij zijn dat FF gratis geupdate wordt door mensen die er een hobby van hebben gemaakt. Ik denk dat ik snel afhaak van een product waar ik voor elke update moet gaan betalen. ALs ik een dag later weer die melding of updates moet accepteren is dat ok denk ik.
11-02-2022, 10:50 door [Account Verwijderd]
Door Anoniem:
Door Anton Bleekers:
Door Anoniem:
Door Anton Bleekers: Oef, alweer een Update? ;-)

De versies struikelen zo'n beetje over elkaar heen de laatste weken. ;-)

14-01-'22 versie 96.0
18-01-'22 versie 96.01
27-01-'22 versie 96.02 en één dag later....
28-01-'22 versie 96.03

En nu alweer een. Als de version updates in dit tempo doorgaan zitten we in december op Firefox v.120 (twee versies per maand)

Minstens zo opvallend dat het bijna allemaal updates zijn die betrekking hebben op een combinatie met een specifiek OS

Anoniem, 19:46 uur: Je kletst diepgaand uit je nek!

Windows:

https://ftp.mozilla.org/pub/firefox/releases/96.0.1/win64/ - https://ftp.mozilla.org/pub/firefox/releases/96.0.1/win64/nl/
https://ftp.mozilla.org/pub/firefox/releases/96.0.2/win64/ - https://ftp.mozilla.org/pub/firefox/releases/96.0.2/win64/nl/
https://ftp.mozilla.org/pub/firefox/releases/96.0.3/win64/ - https://ftp.mozilla.org/pub/firefox/releases/96.0.3/win64/nl/

MacOs:

https://ftp.mozilla.org/pub/firefox/releases/96.0.1/mac/nl/
https://ftp.mozilla.org/pub/firefox/releases/96.0.2/mac/nl/
https://ftp.mozilla.org/pub/firefox/releases/96.0.3/mac/nl/


Nog een fijne (klets)avond verder!

Heb je gekeken wat de kwetsbaarheden zijn, ik denk van niet.
De Firefox versies voor alle OS'en blijven in sync met elkaar dus als er een bug in de MacOS versie opgelost wordt krijgt de Windows versie ook een update en vise versa.

Dus Anton Bleekers niet meteen zo van leer trekken op basis van verkeerde conclusies.

Hier wordt, én voor de eerste maal de verkeerde conclusie getrokken:
https://www.security.nl/posting/742336#posting742356

Verwijt mij dus niet dát waar een ander mee begint en waar ik nota bene en niet jij, als eerste kritisch op reageer.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.