Mozilla: Firefox binnen 21 uur beschermd tegen Pwn2Own-zerodays
Mozilla heeft twee kritieke kwetsbaarheden in Firefox die onlangs tijdens de Pwn2Own-wedstrijd in Vancouver werden gedemonstreerd, en waardoor aanvallers systemen kunnen overnemen, binnen 21 uur gepatcht. Daarmee was het van de andere browserontwikkelaars de eerste om de Pwn2Own-kwetsbaarheden te verhelpen. Tijdens Pwn2Own worden onderzoekers beloond voor het demonstreren van onbekende kwetsbaarheden in populaire producten.
Tijdens de laatste editie, die plaatsvond op 20 en 21 maart, werden succesvolle aanvallen tegen Chrome, Edge, Firefox en Safari gedemonstreerd. Alleen in het geval van Firefox ging het om kritieke kwetsbaarheden waarmee een aanvaller code op het onderliggende systeem kan uitvoeren. Onderzoeker Manfred Paul wist via zijn exploit uit de sandbox van Firefox te ontsnappen om zo code buiten de browser uit te voeren.
Mozilla laat weten dat de eigen engineers altijd stand-by staan als Pwn2Own plaatsvindt, zodat het snel op gevonden problemen kan reageren. In dit geval werden de kwetsbaarheden binnen 21 uur met een update verholpen. Google kwam voor de Pwn2Own-lekken op 26 maart en 2 april met updates. Microsoft deed dat op 27 maart en 4 april. Apple moet nog met patches komen.
https://latesthackingnews.com/2019/07/11/mozilla-patches-a-17-year-old-flaw-and-other-bugs-with-the-release-of-firefox-68/
For the past 17 years, different researchers reported the same issue repeatedly to Mozilla. Nonetheless, it remained unpatched until Tawily publicly disclosed it.
Finally, Mozilla has now acknowledged the bug as CVE-2019-11730 (moderate severity) and released a patch for it. As stated in their advisory,
Nee ze leveren een product het is hun verantwoordelijkheid dat het veilig is dat is wat we van ze horen te verwachten.
Edge wordt zeer regelmatig gepatched. Net als Chrome en Firefox etc. Cyclus staat los van Patch Tuesday. Jouw opmerking raakt derhalve kant noch wal.
Edge wordt zeer regelmatig gepatched. Net als Chrome en Firefox etc. Cyclus staat los van Patch Tuesday. Jouw opmerking raakt derhalve kant noch wal.
Overigens zijn 3rd party browsers op iOS/iPadOS op Safari gebaseerd, niet op MacOS.
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
