image

Mozilla: Firefox binnen 21 uur beschermd tegen Pwn2Own-zerodays

vrijdag 5 april 2024, 09:56 door Redactie, 6 reacties

Mozilla heeft twee kritieke kwetsbaarheden in Firefox die onlangs tijdens de Pwn2Own-wedstrijd in Vancouver werden gedemonstreerd, en waardoor aanvallers systemen kunnen overnemen, binnen 21 uur gepatcht. Daarmee was het van de andere browserontwikkelaars de eerste om de Pwn2Own-kwetsbaarheden te verhelpen. Tijdens Pwn2Own worden onderzoekers beloond voor het demonstreren van onbekende kwetsbaarheden in populaire producten.

Tijdens de laatste editie, die plaatsvond op 20 en 21 maart, werden succesvolle aanvallen tegen Chrome, Edge, Firefox en Safari gedemonstreerd. Alleen in het geval van Firefox ging het om kritieke kwetsbaarheden waarmee een aanvaller code op het onderliggende systeem kan uitvoeren. Onderzoeker Manfred Paul wist via zijn exploit uit de sandbox van Firefox te ontsnappen om zo code buiten de browser uit te voeren.

Mozilla laat weten dat de eigen engineers altijd stand-by staan als Pwn2Own plaatsvindt, zodat het snel op gevonden problemen kan reageren. In dit geval werden de kwetsbaarheden binnen 21 uur met een update verholpen. Google kwam voor de Pwn2Own-lekken op 26 maart en 2 april met updates. Microsoft deed dat op 27 maart en 4 april. Apple moet nog met patches komen.

Reacties (6)
05-04-2024, 11:47 door Anoniem
Bij Edge zou je wel eens lekker 30 dagen kunnen wachten met hun baggere patch tuesday mentaliteit.
05-04-2024, 14:28 door Anoniem
Wat moet ons als gebruikers het intereseren dat ze 21 uur over de patch hebben gedaan. Ze hebben gepatched daar gaat het om. De rest is ego tripperij en laten we wel wezen voor elk voorbeeld dat ze snel zijn kan ik ook een voorbeeld neerleggen waar ze geen prio aangaven.

https://latesthackingnews.com/2019/07/11/mozilla-patches-a-17-year-old-flaw-and-other-bugs-with-the-release-of-firefox-68/

For the past 17 years, different researchers reported the same issue repeatedly to Mozilla. Nonetheless, it remained unpatched until Tawily publicly disclosed it.
Finally, Mozilla has now acknowledged the bug as CVE-2019-11730 (moderate severity) and released a patch for it. As stated in their advisory,
17 jaar clap clap wat een prestatie.

Nee ze leveren een product het is hun verantwoordelijkheid dat het veilig is dat is wat we van ze horen te verwachten.
05-04-2024, 15:47 door Anoniem
Door Anoniem: Bij Edge zou je wel eens lekker 30 dagen kunnen wachten met hun baggere patch tuesday mentaliteit.

Edge wordt zeer regelmatig gepatched. Net als Chrome en Firefox etc. Cyclus staat los van Patch Tuesday. Jouw opmerking raakt derhalve kant noch wal.
06-04-2024, 17:32 door Anoniem
Door Anoniem:
Door Anoniem: Bij Edge zou je wel eens lekker 30 dagen kunnen wachten met hun baggere patch tuesday mentaliteit.

Edge wordt zeer regelmatig gepatched. Net als Chrome en Firefox etc. Cyclus staat los van Patch Tuesday. Jouw opmerking raakt derhalve kant noch wal.
Niet zo verwonderlijk gedacht want reguliere patches is normaal gesproken alleen 1x per maand op patch dinsdag. Derhalve zeer onvriendelijke reactie. Klinkt enige (windows ransomware) frustratie vanaf.
07-04-2024, 14:07 door Anoniem
De trage response van Apple is dan kwalijk omdat alle browsers daar gebaseerd zijn op safari..
08-04-2024, 09:07 door Anoniem
Door Anoniem: De trage response van Apple is dan kwalijk omdat alle browsers daar gebaseerd zijn op safari..
Nogal ja. Het duurt nu ook al wel erg lang.
Overigens zijn 3rd party browsers op iOS/iPadOS op Safari gebaseerd, niet op MacOS.
Reageren
Ondersteunde bbcodes
Bold: [b]bold text[/b]
Italic: [i]italic text[/i]
Underline: [u]underlined text[/u]
Quote: [quote]quoted text[/quote]
URL: [url]https://www.security.nl[/url]
Config: [config]config text[/config]
Code: [code]code text[/code]

Je bent niet en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.