Netjes :)
Zoals het hoort

Inderdaad! Mmmmmmmmaar bewijst ook dat FF ook lek is en niet alleen MS$. FF komt steeds meer in het nieuws door teveel lekken.

Probleem herkent, erkenning voor kwetsbaarheid afgegeven en vervolgens wordt er een tijdpad voor de oplossing aangeboden.
Menig professionele organisatie zou willen dat het zo adequate kan reageren.

NETJES? ZOALS HET HOORT? Microsoft heeft onlangs hetzelfde gedaan en toen was het gekanker hier niet van de lucht. Laten we nou maar eerlijk zijn: als Windows een gatenkaas is, is Firefox dat ook. Dat is nou het zoveelste lek in FF sinds IE8 uitkwam.

Overigens, het komt dus `ergens volgende week´ uit. Noem dat maar netjes voor zo´n enorm lek.

En is het nog!
Fantastisch product maar nu verkrijgbaar onder andere naam <a href="http://www.seamonkey-project.org/">naam</a>

PS: je blijft lachen met die Willempie/Lamaar, ik d8 al; "Waar blijft 'ie ?!"
Gerelateerde tip: Don't feed the troll ! ;)

Ik vraag me af in hoeverre NoScript beschermt tegen dit lek... (NoScript, een add-on voor Fx die je dus niet voor IE kan gebruiken.)

@Duckman: De eerste versies van Netcape waren alleen gratis voor privé gebruik. Voor commercieel gebruik was een commerciële licentie nodig. Pas later is het helemaal gratis geworden. Ik schat zo rond versie 3.0 of 4.0.

Ten eerste: dat gekanker kwam van niemand anders dan van jou, zoals dat gewoonlijk is. Je bent net een groot kind dat onrecht wordt aangedaan.

Ten tweede: Ergens volgende week kan ook maandag zijn en dat is nog maar een aantal dagen verwijderd. Vreemd dat ik je niet hoor over critical lekken die in Windows/IE zijn aangetroffen en waar weken of zelfs maanden op gewacht moest worden. Nee, want dat wordt direct goed gepraat door Willem2/Lamaar/Nomen Nescio/Clockwork.

En inderdaad waarom iedere keer een nieuwe alias? Moet het dan lijken alsof meerdere mensen het eens zijn met jouw opinie over MS? Over zielig gesproken. Iedereen heeft je door, je trolling hier heeft absoluut geen enkele waarde meer. Je zeurt zo vaak dat mensen hier weg zullen lopen als MS bashing zo door gaat. Nou rot dan gewoon op. Mensen zoals jij kunnen we missen als kiespijn!

Als er elke keer weer ten onrechte op Microsoft wordt gekankerd, kun je de bal terugverwachten. Jullie hebben al een heleboel Windowsgebruikers hier weggejaagd. Die reageren helemaal niet meer, die komen gewoon niet meer (namen bij mij bekend en dat zijn er nogal wat).

En kijk maar wat er weer aan de hand is: hahaha, een lek in IE! Even later blijkt dat lek niet in Vista te zijn. Maar nou staat er ineens een vraagteken bij. En als er dan een enorm lek in Firefox wordt gevonden, gaat men hier ook nog roepen hoe netjes Mozilla wel niet is. Terwijl het nog maar de vraag is of een patch volgende week al verschijnt.

Dat gekanker kwam dus niet van mij, maar was een reactie op dat doorlopende gekanker hier op MS. Ik noem een Eerde, ik noem een Spatieman om er maar een paar te noemen. En nou staat Duckman hier weer te raaskallen over dingen die totaal niet kloppen.

Laten we het volgende afspreken: zodra jullie gewoon normaal reageren, doe ik dat ook.

Ik word er een beetje triestig van dat een browser met in verhouding tot IE zo weinig regels code er wederom in is geslaagd lek te zijn.
Zijn ze daar bij Mozilla een beetje blind aan het code kloppen of wordt er ook nog een beetje slim geprogrammeerd?

Dat hoeft ook niet. NoScript zit standaard in IE, alleen niet ingeschakeld.
Maar dat is het bij FF ook niet. Dat moet je als gebruiker net weten dat je daar nog iets extra's voor moet doen. Idem in IE.

Meteen weer gekibbel in de tent....

Wat hier minder netjes aan is, is dat de exploitcode is gepubliceerd voordat de patch er is.

Maar daar kan Mozilla natuurlijk niets aan doen (en meneer Landi waarschijnlijk des te meer)...

Adrianus

Gekanker? niet van mij hoor , en voor de rest ga ik maar geen eens op je post in , heeft toch geen zin

Op linux crasht firefox ook op de PoC-code. Konqueror en Opera laten een mooi rechthoekig kadertje zien.
NoScript helpt niet omdat het niet gaat om een javascript-fout, maar gewoon xml.
Volgens de pagina is de Final release op March 31 - April 1, dus over 5 nachtjes.
Mozilla erkent de fout in elk geval en zorgt voor een oplossing.
Dat is wat anders dan maandenlang volhouden dat het geen fout is maar een feature.

Als Firefox gatenkaas is omdat Windows dat is, dan zijn OpenBSD en djbdns om die reden net zulke gatenkaas als Windows. Logisch toch!? Alle software komt namelijk uit dezelfde fabriek in het verre oosten. En de leveranciers hier passen alleen de dozen en boekjes aan. Dat weet toch iedereen?

Stel dat je heilig gelooft dat de aarde plat is en je gaat met het vliegtuig naar Australie. Of je gelooft heilig dat een bepaald OS het beste stukje software is dat ooit geschreven is maar op gemene websites lees je voortdurend over de tekortkomingen ervan. Je gelooft heilig dat alle software net zo vatbaar is voor malware, maar al jarenlang blijkt dat je geloof niet te rijmen valt metde feiten.
Hoe reageert men dan in zulke gevallen van cognitieve dissonantie?
Intelligente en rationele mensen passen hun mening aan. Maar er zijn ook mensen die op alle mogelijke manieren proberen het eigen geloof in stand te houden. Deze mensen reageren niet of niet inhoudelijk bij berichten over problemen met 'hun' heilige software. Ze vallen dan anderen aan op bijvoorbeeld hun taalfouten. Maar bij artikelen over problemen met andere software schreeuwen ze om het hardst hoe slecht die software is. Het gaat de schreeuwlelijk er alleen om dat zijn gevoel weer even goed is. Een inhoudelijke discussie zou dat gevoel ernstig kunnen verstoren en misschien zelfs het einde van z'n overtuiging betekenen. De schreeuwlelijk voelt aan z'n water dat hij ook weinig kans maakt om zo'n discussie te winnen. Mede daarom gaat de schreeuwlelijk dan ook geen inhoudelijke discussie aan en zal hij vragen om onderbouwing nooit beantwoorden.

Vermoedelijk zitten de Lamaar's, Willempies, Karels en lotgenoten op dit moment op het hoogtepunt van hun intelligentie. In de toekomst zal dat alleen maar minder worden en zal de kans op een inhoudelijke discussie daarmee ook nog verder afnemen.
Het heeft nu al geen enkele zin om op hun geschreeuw te reageren en het wordt alleen maar minder.
En het is toch ook zonde als alle artikelen hier vol staan met onzinnige reacties?

Ik herhaal mijn reactie uit de MSN-thread:

Ik snap niet waarom jij je zo druk maakt overe negatieve berichtgeving over Microsoftproducten. Microsoft is een groot bedrijf, die kunnen best zelf hun verdediging voeren en hebben geen fanboys nodig die hun producten verdedigen. Maar ik snap jouw positie wel. Jij bent zo'n Microsoft-gelovige die bang is voor verandering, bang is om te kijken naar alternatieven en daadwerkelijk gelooft dat Microsoft de wijsheid in pacht heeft. Je bent blind en doof voor de mening van andersdenkenden. Dit soort mensen noemen we ook wel fanatici of fundamentalisten. Ik zou je aan willen raden om je open te stellen voor de mening van anderen. Je zou er zowaar iets van kunnen leren, en je leven wordt een stuk prettiger - je hoeft jezelf en je geliefde Microsoft dan niet meer te vuur en te zwaard te verdedigen op allerlei fora.

Ja hoor, de echte intelligentsia zit hier bij security.nl. Microsoft heeft beslist niet de wijsheid in pacht maar te denken dat ze daar allemaal gek zijn, is te stom voor woorden. En allerlei fora? Ik kom vrijwel nooit op fora. Ik zou je aanraden om eens wat meer om je heen te kijken. Hier wordt doorlopend geschreeuwd dat alles van Microsoft zo stom is. Ja hoor, je moet vooral niet kijken naar de fouten van anderen. Heel veel mensen die tot tevredenheid met Windows werken, zijn hier al weggelopen. Waarom zou dat nou toch zijn? Dag hoor, intelligent anoniem figuur.

Surft allen toch gewoon met de moderne Netscape; http://www.seamonkey-project.org/ ! ;)

[color=red]Don't feed the troll ![/color]

Zoals anderen al schreven staat het lek zelf los van Javascript, maar zit in het verwerken van XML en XSL (edit 2009-3-27: er stond XSLT en dat klopt niet). Echter voor zover nu bekend kun je daar alleen de webbrowser mee laten crashen, en dat is nauwelijks interessant (in elk geval niet voor hufters die je PC willen overnemen).

Voor zover nu bekend kan met de zogenaamde heap-spray techniek en Javascript je PC wel worden overgenomen. Met NoScript kun je per site opgeven of JavaScript afkomstig van die site mag worden uitgevoerd (of niet).

Als je zet NoScript aanzet voor een bepaalde site, vaak nodig omdat de betreffende site anders niet (goed) werkt, dan is je PC kwetsbaar als er kwaadaardige Javascript code op die site zelf staat. Het komt echter vaak voor dat de Javascript malware vanaf een andere site wordt nageladen, in dat geval ben je wel beschermd met NoScript. Maar ik zou er maar niet al te hard op rekenen.

Hoi, kan iemand me de volgende termen uitleggen ???
Ik kijk vaker hier op de website, maar mis soms uit uitleg van de verschillende termen.

1] drive-by aanvallen+download
2] high-priority firedrill security update
3] kwaadaardig XML-bestand
4] proof-of-concept exploitcode
5] zero-day lek

Hartelijk dank

ELK artikel over ELK product krijgt negatief commentaar van 'fans' van een concurrerend product. Kom dus niet aan met onzin dat alleen product van makers X wordt afgekraakt. Het commentaar hier laat dat maar weer eens zien.

Hallo lieve mensen,

Ik heb braaf (of wijselijk) mijn mond gehouden, maar moet dit toch even kwijt, want ook al zou er kwaadaardige code door Mozilla Firefox kunnen worden uitgevoerd, vraag ik mij af, in hoeverre dit enig effect op je GNU/Linux of BSD systeem heeft?

Aangezien uitsluitend een volstrekte idioot zijn webbrowser op een Unix systeem als root uit voert, lijkt mij dat hier wel erg hoog van de toren wordt geblazen.

Ook al zijn de MacOS X en Linux versies kwetsbaar, blijft de schade dus duidelijk beperkt tot de M$ Windows versie.

Hoi, kan iemand me de volgende termen uitleggen ???
Ik kijk vaker hier op de website, maar mis soms uit uitleg van de verschillende termen.

1] drive-by aanvallen+download
2] high-priority firedrill security update
3] kwaadaardig XML-bestand
4] proof-of-concept exploitcode
5] zero-day lek

Hartelijk dank

Als de code specifiek gemaakt is voor linux of BSD is dat net zo goed uit te buiten.

Zeker, maar je moet niet vergeten dat je best een effectieve worm of virus kunt maken zonder root rechten. Je kunt ook net zo goed onderdeel worden van een botnet. Dat is iets wat nogal eens vergeten wordt.

Dit is dus niet helemaal correct. Het is echter wel zo dat een specifiek voor windows geschreven exploit uiteraard niet werkt op de andere OS'sen. Het is echter relatief eenvoudig om een zelfde soort exploit (gebruik makend van dezelfde bug) specifiek te schrijven voor de genoemde OS'sen.

Verhuis je vraag even naar het forum, er is ruimte genoeg daar voor tekst en uitleg. Je zult ongetwijfeld niet de enige zijn die deze vragen heeft. Als het op het forum staat, i.p.v. ergens tussen de commentaren van een artikel, is het ook voor die mensen makkelijker te vinden.

Ik denk dat Firefox een stuk veiliger wordt als de Google rommel eruit gegooid wordt.(hotbar etc.)
Het is immers al jaren bekend dat Google de informatie van iedereen aan iedereen wil laten zien.
Google is mij te bemoeizuchtig en heeft lak aan privacy e.d.
Kijk alleen al naar Google Earth.
Met andere woorden, Firefox zelf rotzooit al rond op je PC via Google.

Persoonlijk knal ik Google er meteen uit als "update" juist vanwege bovenstaande.