Nieuws
image

Security update voor Mozilla Firefox

vrijdag 25 februari 2005, 10:01 door Redactie, 24 reacties

De Mozilla Foundation heeft een security update voor haar open source browser Firefox uitgebracht. Onder andere het kritieke spoofing lek wat door de International Domain Names standaard werd veroorzaak is verholpen. De namen worden nu als punycode weergegeven. Daarnaast is er ook een aantal andere lekken verholpen. Versie 1.01 is voor alle 27 miljoen Firefox gebruikers beschikbaar, zo laat de Mozilla Foundation weten. "Security updates zijn essentieel voor het bieden van een veilige browse ervaring voor onze gebruikers. De Mozilla Foundation heeft een gemeenschap van gebruikers en ontwikkelaars die continu feedback over de Mozilla software gegeven, met als resultaat dat we snel kunnen reageren als er security lekken ontdekt worden." aldus Chris Hofmann van Mozilla weten. De update kan via de update functie in Firefox of deze pagina gedownload worden.

Reacties (24)
25-02-2005, 10:24 door Anoniem
Weer een update, je wordt er gek van als systeembeheerder. Kunnen ze
dat rotspul niet gewoon afmaken. Of 1 keer in het half jaar een update.
Was ik maar nooit overgegaan.
25-02-2005, 10:34 door Anoniem
Nou nog kijken of de themes en extensions het blijven doen...
25-02-2005, 10:50 door Anoniem
het is ook nooit goed he anoniempje
als ze 1 keer om de zes maanden updates uitbrengen dan ga je
waarschijnlijk roepen dat Mozilla laks is en security issues niet serieus
neemt?
25-02-2005, 10:57 door Anoniem
Door Anoniem
Weer een update, je wordt er gek van als systeembeheerder.
Kunnen ze
dat rotspul niet gewoon afmaken. Of 1 keer in het half jaar
een update.
Was ik maar nooit overgegaan.

Een echte systeembeheerder kan zich jouw mentaliteit niet
veroorloven....
Update 's maken behoort tot de core-bussiness van een
systeembeheerder nog ff en je gaat klagen over back-up's
M.a.w. als jij systeembeheerder bent eet ik mijn hoed op !
25-02-2005, 11:02 door Anoniem
Door Anoniem
Weer een update, je wordt er gek van als systeembeheerder.
Kunnen ze
dat rotspul niet gewoon afmaken. Of 1 keer in het half jaar
een update.
Was ik maar nooit overgegaan.

Dat valt toch wel mee, Firefox 1.0 had ik op 9-11-2004. Dat
is al weer bijna 4 maanden geleden.
25-02-2005, 11:32 door Anoniem
Door Anoniem
Weer een update, je wordt er gek van als systeembeheerder.
Kunnen ze
dat rotspul niet gewoon afmaken. Of 1 keer in het half jaar
een update.
Was ik maar nooit overgegaan.

ik heb net op een andere site een belachelijk slecht artikel
zitten lezen waar iemand juist zat te zeuren dat er wel
weken tussen zat.
25-02-2005, 11:44 door Anoniem
Door Anoniem
Weer een update, je wordt er gek van als systeembeheerder.
Kunnen ze
dat rotspul niet gewoon afmaken. Of 1 keer in het half jaar
een update.
Was ik maar nooit overgegaan.


Zeker een Microsoft medewerker die er op uitgestuurd is om
te trollen.
25-02-2005, 12:04 door Anoniem
die update staat nog niet online hoor.
Mijn firefox vertelt me dat er geen updates beschikbaar zijn
25-02-2005, 12:12 door Anoniem
Je klinkt ook alsof je vanalles hebt over moeten zetten en
nu niet meer terugkan. Maar 'overgaan' is niets anders dan
het andere icoontje aanklikken daar op die desktop. Ow
wacht. En alle functionaliteit weer inleveren. Tsja.
25-02-2005, 12:24 door Anoniem
Ik heb de engelstalige versie voor windows gedownload. Deze
is voorzien van een digitale handtekening (rechter muistoets
op de file, dan egenschappen of properties). De
ondertekenaar is "Mozilla Foundation" en de CA is Thawte. Er
wordt echter geen datum en tijd van signeren vermeld, en als
hash algoritme is MD5 gebruikt.

Omdat deze file vanaf heel verschillende sites af kan komen
(zonder te willen discrimineren zag ik er ook .ru tussen)
vind ik zo'n signature erg belangrijk, en van vaagheden hou
ik niet. De vraag is vooral wie allemaal als "Mozilla
Foundation" kunnen ondertekenen en waarom die timestamp
ontbreekt.

De file die ik gedownload heb heet "Firefox Setup
1.0.1.exe", de lengte is 4,816,320, de MD5 hiervan is
e48bb060fb224403d55110f1f0aa8495 en de SHA1 hash is
cc1473211cade2c202cbd116899a4a9c8b698a94. Let op, het gaat
om de Engelstalige versie.

Zie mijn bovenste post in
http://www.security.nl/article/10141/1 voor een free MS
tooltje om md5 en sha1 hashes te berekenen.

Ziet iedereen hetzelfde, of draaien jullie allemaal de NL
versie? Zo ja, willen jullie daarvan misschien ook hashes
publiceren.

Erik
25-02-2005, 12:33 door FSF-Moses
Nouja, versie 1.01 is in iedergeval wel te downloaden....
Blijkbaar is het soms beter gewoon de nieuwste versie te
downloaden dat de interne update daar voor te gebruiken. Het
zou me overigens niets verbazen dat de update binnen enkele
uren ook beschikbaar zal zijn...

Ik ben er in iedergeval wel erg content mee!
25-02-2005, 13:11 door [Account Verwijderd]
[Verwijderd]
25-02-2005, 13:29 door Anoniem
Valt me allemaal erg tegen.

Maar liefst 3 weken moeten wachten op een patch nadat de lekken bekend
waren geworden. En dan moet je de hele zooi ook nog eens opnieuw
downloaden en instaleren. Bij MF beginnen ze al aardig op MS te lijken !
25-02-2005, 14:10 door Anoniem
Op vrijdag 25 februari 2005 13:11 schreef NielsT onder meer:
> Same here:

Thanx!

Tip: als je download zie je in de Firefox download
dialoogbox de url waar het bestand vandaan komt. Die url kun
je selecteren, kopieeren en plakken. Ik probeer dat altijd
te doen bij downloads, en schrijf die info samen met datum
en tijd in een tekstfile die ik bij downloads bewaar. Wel
even werk maar erg handig mocht later blijken dat een site
gecompromitteerd was.

Ik heb trouwens niets meer van het dns-spoofing verhaal van
Fransisco van Jole in de eerste Bright gehoord. Storm
in een glas water?
http://www.security.nl/article/9981/1

Zijn er hier lezers die ook bijhouden wat ze waarvandaan
downloaden, en zo ja, gaan jullie daarbij dan zo ver dat je
ook meteen het IP-adres noteert (bijv. netstat -an
tijdens transfer), voor het geval je met een andere
site een verbinding hebt dan bedoeld? Daarmee is manipulatie
van routering niet uitgesloten, maar je moet ergens
van uit kunnen gaan.

Erik
25-02-2005, 14:12 door Anoniem
Door Anoniem ik heb net op een andere site een
belachelijk slecht artikel zitten lezen waar iemand juist
zat te zeuren dat er wel weken tussen zat.

planet toevallig?
http://www.planet.nl/planet/show/id=118880/contentid=554003/sc=2b7395

Door Security.nl De update kan via de update
functie in Firefox
echt? zie niet echt waar ik dat
zou moeten doen dan?
25-02-2005, 15:08 door Walter
Door Anoniem
echt? zie niet echt waar ik dat
zou moeten doen dan?
Klik op:
[list]-Tools
- Options
- Advanced
- Software Update
- En als laatste op het knopje check now.
[/list]
25-02-2005, 16:28 door Anoniem
Door Walter
Klik op:
[list]-Tools
- Options
- Advanced
- Software Update
- En als laatste op het knopje check now.
[/list]
bedankt, maar geen updates gevonden zegt ie
25-02-2005, 18:11 door Anoniem
Het lijkt IE wel!!!
26-02-2005, 01:20 door Anoniem
Door Anoniem
Het lijkt IE wel!!!
ja, toch durf ik met IE niet meer naar alles te browsen waar
ik met FF zonder zorgen heenga.
28-02-2005, 11:15 door Anoniem
ja aan sommige comments te zien trappen ze hier ook in de
stemmingmakerij zoals op planet.
01-03-2005, 00:11 door Anoniem
Door Anoniem
waren geworden. En dan moet je de hele zooi ook nog eens
opnieuw
downloaden en instaleren.
Yeps, wel meer dan 4 MB!!
echt schandalig :P
03-03-2005, 12:31 door Anoniem
Mozilla heeft omstreeks 26 februari stilletjes een
gewijzigde versie 1.01 uitgebracht. Als je na die
datum hebt gedownload kloppen bovenstaande hashes niet.

Ik vind het onverstandig dat Mozilla deze handeling onder
de pet lijkt te houden (in elk geval op de voor de hand
liggende pagina's kon ik er niets over terugvinden). Dit
leidt onnodig tot verwarring: moet je een oude 1.01 nu wel
of niet updaten, of heb je wellicht een trojaned versie
gedownload (een gedachte die op kan komen als je de hash van
je oude download met die op mozilla.org vergelijkt). M.i.
hadden ze de re-release versie 1.01a of zo moeten noemen.

Zie
http://ftp.mozilla.org/pub/mozilla.org/firefox/releases/1.0.1/.
Bijv. in
http://ftp.mozilla.org/pub/mozilla.org/firefox/releases/1.0.1/win32/en-US/
is te zien dat de torrents nog van 24 feb. zijn en de rest
van de 26e (afhankelijk van op welke site en timezone je
uitkomt kun je ook 25 en 27 feb zien).

Ik heb geen tijd gehad om uit te zoeken wat er precies
gewijzigd is. Een ding viel wel op na uitpakken van zowel
een nieuwe als een oude 1.01 zip: als je met de
rechtermuisknop op de uitgepakte Firefox.exe klikt en
eigenschappen (properties) opent, staat er bij de oude als
versie "1.0" en bij de nieuwe "1.01". Ik hoop dat dit de
enige wijziging is. Iemand?

Erik
03-03-2005, 13:45 door SirDice
De update functie binnen FireFox werkt NOG NIET. Dit komt voornamelijk
omdat de benodigde infrastructuur nog niet aanwezig is. Hier wordt aan
gewerkt.
03-03-2005, 14:13 door Anoniem
SirDice, dank voor je antwoord maar dat is niet mijn probleem.

Het probleem is het stilletjes wijzigen van alle
downloads zonder daarbij het versienummer aan te passen en
uit te leggen waarom er iets gewijzigd is en wat.

Erik
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Zoeken
search