Ah, vandaar dat ik - hoogst ongebruikelijk - vanochtend een update zag van v.105.0.2 naar v.105.9.3

Firefox 105.0.3 is een update die een probleem oplost waardoor - oudere versies - van de anti-virus producten Avast en AVG Mozilla's browser steeds laten crashen. Na de update zou Firefox niet meer (zo vaak) moeten crashen. Update van Avast en AVG naar nieuwere versies kan de incompatibiliteit ook verhelpen.
https://www.gratissoftwaresite.nl/downloads/firefox-internet-web-browser

Zo worden de anti Google bedrijven opgeruimd door dit soort acties. Dit soort bedrijven moeten aangepakt worden die de vrije marktwerking op internet kapot maken en voor de grote partijen werken.

Dat risico loop je altijd als je een virusscanner gebruikt! Het kan zelfs voorkomen dat ie een kritiek deel van je OS als
malware beschouwt en heel je machine plat legt.
Iedereen moet zelf overwegen of hij dit risico de aire van "beveiliging" waard vindt.

Sinds de overname door Norton (met 15% reductie aan medewerkers) zit avast al overal tussen met zijn "s-install.avcdn.net" met een No 'Access-Control-Allow-Origin'CORS policy. Het wordt gelijdelijk aan een (av-)tracking machine van jewelste.
Ook via Android Clean Masters av etc. actief op andere platforms.

Gebruikers met de Avast Secure Browser zien deze 'bladeraar'voor elke andere browser ook als eerste opengaan en is ook nog eens zeer geheugen-belastend bezig.

Goed bezig? Dat is de vraag dus,

#obserwator

Avast heeft in 2016 AVG overgenomen. En in 2017 CCleaner.

Van wikipedia: "In July 2021, NortonLifeLock, an American cybersecurity company, announced that it is in talks to merge with Avast Software. In August 2021, Avast's board of directors agreed to an offer of US$8 billion. In September 2022, the Competition and Markets Authority approved the proposed takeover by NortonLifeLock so allowing the transaction to be completed.[31][32][33][34][35]"

Het is dus niet de schuld van Avast dat dit gebeurt, maar van NortonLifeLock (voorheen Symantec). Die is namelijk nu de eigenaar en het probleem speelt nu.

waarom zou Avast update requests van o.a. firefox herschrijven waardoor firefox geen updates meer krijgt? Wat voor belang dient dit?

Avast was goed,maar het word minder
en het voegt steeds meer apps toe aan het av product
dat steeds meer taken wil overnemen van windows of andere software,
maar ook vaker irritante popups,dat je moet upgraden voor betere veiligheid.

De vrije markt heeft veel schade aangebracht,maar ook
op het internet,overnames verlopen vaak minder goed dan gedacht.
Blijvend concurreren betekend vaak voor beide partijen verlies
en de dupe is de consument die weer de kwaliteit of service elders moet gaan zoeken,
de eeuwige cirkel van verlies of tijdelijke nieuwe services en ondernemers die het weer proberen
de vrije markt,het is een soort wegwerp product,tijdelijke winst voor de maatschappij en consument.

EUNLNU2022

Wel Duh, malware scanning/threat protection , "web shield" enzo , is natuurlijk het belang .

Je moet niet lezen "Avast rewrite firefox updates" , maar "Avast monitort programma's die allerlei dingen willen downloaden en installeren" => dus ook auto updates van bijvoorbeeld firefox .
Feitelijk dus een vals alarm van de scanner .

Dan kun je naief roepen "maar dan moeten ze het programma dat "firefox.exe" heet uitzonderen, want is vertrouwd.
En dan is de volgende opmerking , dat malware writers kiezen hoe hun programma heet -> firefox.exe .
En is de vraag weer, hoe AV scanners een "echte" firefox kunnen herkennen als ze die (bijvoorbeeld) standaard willen whitelisten.
En natuurlijjk is de lijst van programma's langer dan alleen firefox, want eigenlijk heeft/hoort elk programma een (auto) update functie, zeker als het een risico is wanneer er een bug in dat programma gevonden wordt .

Natuurlijk is dan ook bekend, dat je veel minder kans loopt op zo'n FP als je netjes je code, tool, programma "ondertekent".

En een heleboel developers laten dat nog wel eens na. Uiteindelijk komt dan de FP eruit als werkelijke valse positief, maar ondertussen. Resource signing zou dus overal aanbeveling verdienen, ook identity hashen op script.

#obserwator

Het is altijd het beste om software te downloaden vanaf de site van de makers zelf, en niet van andere "gratis software" sites. Want bij dat soort sites weet je niet zeker of het de authentieke, ongewijzigde versie is.
https://www.mozilla.org/nl/firefox/new/

Dat is het niet eens, het is veel knulliger. Het herschrijven van requests gaat niet over de huidige crashes. Als je de link naar Ben Hearsum volgt in het artikel zie je dat die weer naar een bugreport doorverwijst van 8 jaar geleden:
https://bugzilla.mozilla.org/show_bug.cgi?id=1141513
Daar wordt gemeld dat een backend-component van Mozilla URLs die door Avast waren aangepast niet aankon, het ging dus niet mis in Firefox maar op een server van Mozilla. Uit de gegeven voorbeelden blijkt dat ze requests als deze binnenkregen:


Het door Avast toegevoegde deel heb ik vet gemaakt. "%3F" is de URL-codering voor een vraagteken. Dus eigenlijk staat achter "update.xml" "?force=1?avast=1". Twee keer een vraagteken. Een vraagteken in een URL geeft aan waar het query-deel begint, met parameters waar de server iets mee doet. Avast heeft dus een eigen query-parameter toegevoegd, en het lijkt erop dat dat gedaan is door "?avast=1" achter de URL te plakken zonder te kijken of er al een vraagteken in staat. Dan had namelijk "&avast=1" moeten worden toegevoegd. Dat dat vraagteken door "%3F" is vervangen zal komen omdat de resulterende URL vervolgens door code is gehaald die zorgt dat URLs netjes gecodeerd zijn. Die code zal alleen het eerste vraagteken als het begin van de query-parameters hebben gezien en het tweede vraagteken als onderdeel van een query-parameter, en dan is de vervanging terecht.

Het resultaat was dat de door Mozilla zelf gebruikte query-parameter "force" niet meer de waarde "1" had maar de waarde "1?avast=1". Een kale "1" is een geldig getal, met de toevoeging is het dat niet, en daar liep de code op een server van Mozilla op stuk, met als gevolg dat de download van de upgrade ook niet meer door ging voor Avast-gebruikers. Merk op dat dit niet een crash van het hele serverproces zal zijn geweest maar alleen van zo'n request-afhandeling.

Maar waarom zit zoiets er überhaupt in? Aan wie of wat wil Avast meedelen dat Avast de URL-controle heeft uitgevoerd? Het is onzinnig om dat aan elke server op de hele wereld mee te delen, en ook ongewenst, want er zijn ongetwijfeld servers die onverwachte URL-parameters afhandelen als een signaal dat er geknoeid is met de request — dit kan al problemen geven als de toevoeging op de juiste manier wordt gecodeerd. Ik had de gedachte dat het misschien bedoeld is als signaal aan een netwerkcomponent die URLs controleert dat de controle al op het werkstation is uitgevoerd, maar dat zou ook al een bijzonder knullige opzet zijn, want dan kan malware simpelweg "avast=1" toevoegen om controles te omzeilen. Dat lijkt niet erg aannemelijk.

Het lijkt me veel waarschijnlijker dat dit code is die een ontwikkelaar heeft toegevoegd om mee te testen, met een testserver waarop dan gezien kan worden dat de URL op de client door de controle is gehaald. Als die testserver zelf verder geen URL-parameters gebruikte verklaart dat waarom "?avast=1" in die context probleemloos achter de URL kon worden geplakt. De fout die dan gemaakt is is dat deze testcode is uitgerold naar alle Avast-gebruikers. Zoiets mag natuurlijk nooit gebeuren.

Het antwoord op de vraag welk belang dit dient is dus mogelijk het belang van een ontwikkelaar die iets toe heeft gevoegd om een bepaalde test te kunnen doen — en vervolgens verzuimd heeft om dat weer te verwijderen of om het zo te coderen dat het nooit in release-versies actief kan zijn (veel compilers ondersteunen conditionele compilatie: debug-builds kunnen toevoegingen bevatten die in release-builds ontbreken).

Dit is wel een erg versimpelde manier hoe malware en anti malware werkt.
Die kijken niet naar een naam of extensie alleen..

Het zegt veel over het waardeloze ontwerp van het OS als er antivirussoftware. nodif is. Er zijn besturingssytemen waar je helemaal geen antivirus op installeert en waar deze software, die alle rechten nodig heeft, wordt beschouwd als een security probleem. Trap er niet in, een fatsoenlijk OS heeft deze antivirusbedrijven niet nodig.

Wat een kolder. Dit soort fouten zijn een onoverkomelijk zij-effect van de continue wapenwedloop tussen hackers en verdedigers. Komt gewoon een update van de AV-vendors en alles is weer ok.

Zucht. Ik dacht dat we dat stadium toch al voorbij waren. Heel, heel lang geleden wilde Apple nog graag roepen dat er op hun platform geen antivirus software nodig was. Toen hun installed base groot en interessant genoeg was voor criminelen zijn ze daar snel mee opgehouden.
En daarbij: kwaadaardige software heeft helemaal niet "alle rechten" nodig - veel ervan draait gewoon met de rechten van de huidige gebruiker.

Heel veel antimalware software gebruikt een gedwongen proxyserver om alles te kunnen scannen, voordat het encrypted wordt. Dat dit onwenselijk is omdat je dan moet vertrouwen dat die virusscanner ok is en dan niet iemand daar weer op meelift/meekijkt (van antivirus medewerker tot aangehaakte malware) was al bekend, nu de hoeveelheid false positives groeit en de gevolgen steeds groter zijn en de risico's steeds groter worden is het misschien af te vragen of antimalware wel erger is dan de kwaal.
Zeg nu eerlijk, wanneer heeft je antivirus voor het laatst iets geroepen dat daadwerkelijk een echte true positive was?
Ik heb de afgelopen 22 jaar en 10 maanden GEEN EEN true positive gehad. Wel 2x een false positive van McAfee en 2x van NortonAV.

Programma's horen uit een vertrouwde gesigneerde repository (zie Linux) te worden gepatcht dan heb je dit gezeik niet.

IBM en Google installeren geen antivirus software op hun Linux desktops. Zoals walmare al zei. Gesloten antivirus software (voor het gemak supply chain) met alle rechten is een enorm security probleem (microsoft is zelf gehackt door solarwinds 3party software). Wij hebben 3 jaar lang een test gedaan en niet 1 virus of andere malware gevonden. Het is heel gevaarlijk om Linux hetzelfde te behandelen als windows.

Jawel want anders kunnen ze windows niet versleutelen toch?

Slaap lekker.

Zowel MS Windows, macOS, Linux en ook IOS en Android, en webbrowsers zelf ook, bevatten componenten die zien op de bescherming van de integriteit van het systeem, ingebakken als het ware. De manieren verschillen, logisch want elk heeft zijn eigen kwetsbaarheden (en sterktes, behalve MS Windows ;- ). Hoe dan ook, Norton, Avast enz voegen heel weinig toe aan de veiligheid en vormen daarentegen veelal eerder juist een extra bron van problemen zo niet zelfs een extra aanvalsvlak op code die bovendien bijzonder invasief en geprivilegieerd is. Bedrijven als Norton hebben vooral de inning van pecunia op orde.

Waar zijn toch ook al die Qualified Malware Removers gebleven, zoals er nog wel zijn bij MBAM en GeekstoGo.
De zogeweten Hogwart-opruimers met hun speciale tooltjes en individuele cleansing routines.

Vroeger hadden we het ASO initiatief (Anti Spyware Initiatief), maar er schijnt nu alleen maar spyware en bloatware over.
Men tekent ook overal voor eer men aan het werk kan, dus "mum is the word".

Het enige wat developers nog wel eens te ontlokken valt, is een cynische opmerking hier en daar.

Echt op de materie ingaan en vertellen van de hoed en de rand, waarom we de situatie hebben,
die we hebben, wil steeds minder lukken.

Of ze moeten al niet meer actief deel hebben aan het werkproces en de opdrachten ter vermeerdering van de grote investeringswinsten. Hierboven valt uit wat meegedeeld wordt wel een beeld van de manier van werken te krijgen.
En dat is vaak niet al te opbeurend.

Doel: tracken en dataslurpen en giga-winsten binnenharken.