Mozilla patcht veertien lekken in Firefox 2 & 3
De Mozilla stichting heeft veertien beveiligingslekken in de de verschillende versies van haar opensource browser Firefox gedicht. Firefox 2 kreeg de meeste updates te verduren, negen in totaal, voor lekken die in vier gevallen zo ernstig zijn dat een aanvaller willekeurige code zou kunnen uitvoeren. De nieuwste editie van de browser doet het stukken beter en kent vijf kwetsbaarheden, waarvan twee ernstig. Updaten naar Firefox 2.0.0.17 of Firefox 3.0.2 kan via de Auto Update functie of Mozilla.com.
Reacties (22)
24-09-2008, 13:01 door
Lamaar
Allemachtig! Alweer? Hoe lek is Firefox nou eigenlijk? En dan ook nog roepen dat het zo goed werkt? In heel Windows kom je niet zoveel lekken in één keer tegen.
24-09-2008, 13:22 door
prikkebeen
Ach, wet je Lamaar. Firefox is als een lekke band. Er wordt met spoed een prop in geschoten. MS is een visnet waar het patchen onbegonnen werk is en hoelang je er op mag wachten voor er zelf maar een poging ondernomen wordt is ook dan en alleen wanneer het MS belieft.
Ik geef dan de voorkeur aan een lekke band..
Ik geef dan de voorkeur aan een lekke band..
ja gelukkig ga ik gewoon het internet op zonder browser, heb je ook geen last van lekken. :)
24-09-2008, 14:15 door
Eerde
M$ doet die patches stiekum....
Open source heeft het grote voordeel dat de source code open is en iedereen er naar kan kijken, iets dat ook veel gedaan wordt. Zo komen ook veel 'mogelijke lekken' aan het licht. Daardoor zie je veel patches bij open source, ergo ---> open source is veiliger !
Nu jij weer.... lamaar.
Open source heeft het grote voordeel dat de source code open is en iedereen er naar kan kijken, iets dat ook veel gedaan wordt. Zo komen ook veel 'mogelijke lekken' aan het licht. Daardoor zie je veel patches bij open source, ergo ---> open source is veiliger !
Nu jij weer.... lamaar.
24-09-2008, 14:24 door
Lamaar
Door prikkebeenAch, wet je Lamaar. Firefox is als een lekke band. Er wordt met spoed een prop in geschoten. MS is een visnet waar het patchen onbegonnen werk is en hoelang je er op mag wachten voor er zelf maar een poging ondernomen wordt is ook dan en alleen wanneer het MS belieft.
Ik geef dan de voorkeur aan een lekke band..
Nou, dan weet je toch niet waar je het over hebt, want als er iemand open is over patches, is het Microsoft wel. Dat lees je zelfs hier op security.nl. Dus je verhaaltje gaat niet op.Ik geef dan de voorkeur aan een lekke band..
24-09-2008, 14:26 door
Lamaar
Door EerdeM$ doet die patches stiekum....
Open source heeft het grote voordeel dat de source code open is en iedereen er naar kan kijken, iets dat ook veel gedaan wordt. Zo komen ook veel 'mogelijke lekken' aan het licht. Daardoor zie je veel patches bij open source, ergo ---> open source is veiliger !
Nu jij weer.... lamaar.
Over krom redeneren gesproken: hoe meer patches hoe veiliger? En je roept nou juist altijd dat er zoveel patches er bij Microsoft zijn, dus dat moet dan wel enorm veilig zijn. Jij wringt je in allerlei bochten om Microsoft maar zwart te kunnen maken. Jou neem ik al lang niet meer serieus.Open source heeft het grote voordeel dat de source code open is en iedereen er naar kan kijken, iets dat ook veel gedaan wordt. Zo komen ook veel 'mogelijke lekken' aan het licht. Daardoor zie je veel patches bij open source, ergo ---> open source is veiliger !
Nu jij weer.... lamaar.
24-09-2008, 14:28 door
Eerde
@lamaar
Gelukkig begrijp je het niet ;)
Gelukkig begrijp je het niet ;)
De hoeveel patches op software zegt alleen iets over hoeveel potentiele gevaren er afgewend zijn. Het zegt NIETS over hoeveel er nog onderwater zitten en mogelijk nog aan het licht komen. Noch van IE nog van Firefox noch van welk stuk software. Feit blijft dat als een bedrijf er openlijk over is dit iets zegt over hoe belangrijk veiligheid is voor dat bedrijf. Volgens mij zijn MS en FF daarin redelijk gelijk. Nogmaals, aantal uitgebrachte patches zegt niets over hoe slecht/goed een product.
24-09-2008, 16:11 door
extranion
@lamaar
wat Eerde wil zeggen (denk ik) is dat er in open source de code toegankelijk is en dus ook sneller een oplossing voor mogelijke problemen.
In closed source gebeurt dat niet en kunnen bugs vaker onopgelost blijven terwijl ze wel bestaan.
probleem van de strijd wie heeft de meeste fouten, komt ook doordat fouten niet altijd gevonden worden.
wat Eerde wil zeggen (denk ik) is dat er in open source de code toegankelijk is en dus ook sneller een oplossing voor mogelijke problemen.
In closed source gebeurt dat niet en kunnen bugs vaker onopgelost blijven terwijl ze wel bestaan.
probleem van de strijd wie heeft de meeste fouten, komt ook doordat fouten niet altijd gevonden worden.
lamaar, laat maar !!!
Je probeert MS propaganda te slijten, dat is HIER (gelukkig) vechten tegen de bierkaai !
"Through lack of understanding they remained sane."
George Orwell, 1984
Je probeert MS propaganda te slijten, dat is HIER (gelukkig) vechten tegen de bierkaai !
"Through lack of understanding they remained sane."
George Orwell, 1984
4 lekken dus in 3.x, waarvan twee "critical" en twee " moderate". Daarenboven gebruik ik, naast Adblock Plus (& Element Hiding Helper) de NoScript addon, dus geef mij maar die lekke Fx...
24-09-2008, 16:45 door
prikkebeen
Door Lamaar
Door prikkebeenAch, wet je Lamaar. Firefox is als een lekke band. Er wordt met spoed een prop in geschoten. MS is een visnet waar het patchen onbegonnen werk is en hoelang je er op mag wachten voor er zelf maar een poging ondernomen wordt is ook dan en alleen wanneer het MS belieft.
Ik geef dan de voorkeur aan een lekke band..
Nou, dan weet je toch niet waar je het over hebt, want als er iemand open is over patches, is het Microsoft wel. Dat lees je zelfs hier op security.nl. Dus je verhaaltje gaat niet op.Ik geef dan de voorkeur aan een lekke band..
Het was een beetje sarcastisch bedoeld en dat begrijp jij niet zo te zien. Het gaat om de stiekeme patches die wel eens uitgevoerd worden. Zelfs meteen na een aangekondigde patch zitten er soms direct weer lekken in, zie Media Encoder. je mag dan weer wachten tot minimaal de volgende maand. Daarom liever die lekke band waar meteen wat aan gedaan wordt.
24-09-2008, 17:08 door
Lamaar
Door extranion@lamaar
wat Eerde wil zeggen (denk ik) is dat er in open source de code toegankelijk is en dus ook sneller een oplossing voor mogelijke problemen.
In closed source gebeurt dat niet en kunnen bugs vaker onopgelost blijven terwijl ze wel bestaan.
probleem van de strijd wie heeft de meeste fouten, komt ook doordat fouten niet altijd gevonden worden.
Ik weet ook wel wat hij probeert te beweren, maar dat klopt niet met de feiten.wat Eerde wil zeggen (denk ik) is dat er in open source de code toegankelijk is en dus ook sneller een oplossing voor mogelijke problemen.
In closed source gebeurt dat niet en kunnen bugs vaker onopgelost blijven terwijl ze wel bestaan.
probleem van de strijd wie heeft de meeste fouten, komt ook doordat fouten niet altijd gevonden worden.
Titel is misleidend het gaat om vijf veiligheidslekken in v3 en negen in v2
24-09-2008, 17:10 door
Lamaar
Door prikkebeen
Het was een beetje sarcastisch bedoeld en dat begrijp jij niet zo te zien. Het gaat om de stiekeme patches die wel eens uitgevoerd worden. Zelfs meteen na een aangekondigde patch zitten er soms direct weer lekken in, zie Media Encoder. je mag dan weer wachten tot minimaal de volgende maand. Daarom liever die lekke band waar meteen wat aan gedaan wordt.
Ik begrijp het beslist wel, maar jij en Eerde vergeten gemakshalve maar even die lekken die soms maanden onder de tafel bleven in Firefox, of het doodzwijgen van lekken door Apple. Microsoft meldt tenminste nog iets, Apple helemaal niet en Mozilla pas ze een oplossing hebben.Door Lamaar
Door prikkebeenAch, wet je Lamaar. Firefox is als een lekke band. Er wordt met spoed een prop in geschoten. MS is een visnet waar het patchen onbegonnen werk is en hoelang je er op mag wachten voor er zelf maar een poging ondernomen wordt is ook dan en alleen wanneer het MS belieft.
Ik geef dan de voorkeur aan een lekke band..
Nou, dan weet je toch niet waar je het over hebt, want als er iemand open is over patches, is het Microsoft wel. Dat lees je zelfs hier op security.nl. Dus je verhaaltje gaat niet op.Ik geef dan de voorkeur aan een lekke band..
Het was een beetje sarcastisch bedoeld en dat begrijp jij niet zo te zien. Het gaat om de stiekeme patches die wel eens uitgevoerd worden. Zelfs meteen na een aangekondigde patch zitten er soms direct weer lekken in, zie Media Encoder. je mag dan weer wachten tot minimaal de volgende maand. Daarom liever die lekke band waar meteen wat aan gedaan wordt.
Aan Lamaar, Eerde en anderen, die overwegen om hun manier van communiceren over te nemen:
waarom zijn jullie zo voorspelbaar? Wat een reflexmatig gedoe. Is dat nu werkelijk het beste dat uit jullie hersens kan komen? De naald blijft hangen in dezelfde groef - de sleet zit er intussen al lang op.
waarom zijn jullie zo voorspelbaar? Wat een reflexmatig gedoe. Is dat nu werkelijk het beste dat uit jullie hersens kan komen? De naald blijft hangen in dezelfde groef - de sleet zit er intussen al lang op.
24-09-2008, 20:23 door
Rene V
Door Lamaar
Ik begrijp het beslist wel, maar jij en Eerde vergeten gemakshalve maar even die lekken die soms maanden onder de tafel bleven in Firefox, of het doodzwijgen van lekken door Apple. Microsoft meldt tenminste nog iets, Apple helemaal niet en Mozilla pas ze een oplossing hebben.
Ik begrijp het beslist wel, maar jij en Eerde vergeten gemakshalve maar even die lekken die soms maanden onder de tafel bleven in Firefox, of het doodzwijgen van lekken door Apple. Microsoft meldt tenminste nog iets, Apple helemaal niet en Mozilla pas ze een oplossing hebben.
Firefox lekken maanden onder water? Bron graag. Wil daar graag het bewijs van zien of je raaskalt maar wat.
Wat ik nog wel weet is bepaalde lekken in Windows die pas na anderhalf jaar gedicht werden door MS terwijl ze dat al die tijd al wisten. Maar daar hoor ik je niet over. Nee, als er maar gekankerd kan worden over open source zoals Firefox bijvoorbeeld, hmm? Je mag dus niets fouts zeggen over MS want dan ben je een MS hater, maar je mag wel iets zeggen over open source producten want dan ben je objectief. LOL! Jij en Nescio falen in epische proporties.
Wat nog veel zieliger is, is het feit dat ik je nog niet zo lang op het forum of op deze site zie. Niet zo lang als de meeste mensen hier. Vraag me af of dat is omdat Nescio het allemaal niet meer aankon en er een maatje bij moest hebben om zijn beweringen gestand te kunnen doen. Zo van, zie je? Er zijn ook mensen die het wel met mij eens zijn. Echt zielig.
conclusie:
het aantal (gepubliceerde) lekken en de bijbehorende patches zegt niets over de veiligheid van bv. een browser...
net zomin als het ontbreken van (publicatie over) lekken en de bijbehorende patches iets zegt over de veiligheid...
beide gevallen kunnen beide kanten uit, het verzwijgen van een lek kan misbruik in de hand werken door gebrek aan maatregelen, maar kan evengoed ervoor zorgen dat het lek niet uitlekt en misbruikt kan worden tot er werkelijk een patch voor is.
het is redelijk normaal dat bijvoorbeeld de ontdekker van een exploit dit geheim houd om misbruik te voorkomen, zodat een bedrijf de tijd heeft het lek te dichten, en ik kan mij dat prima voorstellen, het niet publiceren van lekken, en het beperkt of geen info geven over patches betekend niet dat er niets aan de hand is, en betekend evenzogoed niet dat er niets aan gedaan word...
pas als er echt niets aan gedaan word terwijl een probleem wel bekend is, dan is er iets goed mis...
het aantal (gepubliceerde) lekken en de bijbehorende patches zegt niets over de veiligheid van bv. een browser...
net zomin als het ontbreken van (publicatie over) lekken en de bijbehorende patches iets zegt over de veiligheid...
beide gevallen kunnen beide kanten uit, het verzwijgen van een lek kan misbruik in de hand werken door gebrek aan maatregelen, maar kan evengoed ervoor zorgen dat het lek niet uitlekt en misbruikt kan worden tot er werkelijk een patch voor is.
het is redelijk normaal dat bijvoorbeeld de ontdekker van een exploit dit geheim houd om misbruik te voorkomen, zodat een bedrijf de tijd heeft het lek te dichten, en ik kan mij dat prima voorstellen, het niet publiceren van lekken, en het beperkt of geen info geven over patches betekend niet dat er niets aan de hand is, en betekend evenzogoed niet dat er niets aan gedaan word...
pas als er echt niets aan gedaan word terwijl een probleem wel bekend is, dan is er iets goed mis...
Dit zijn zeer ernstige lekken. Er bestaat een kans dat uw browser crasht en/of dat er code wordt uitgevoerd met Chrome-rechten, d.w.z. met de rechten van de gebruiker.
Op het UTF-lek na zijn de lekken met rating Critical en High en een Moderate redelijk te voorkomen door geen Javascript toe te staan. Bijvoorbeeld met NoScript. Dat verkleint de kans op ellende een heel stuk.
Gelukkig hoeven Firefox-gebruikers niet lang onbeschermd te zijn door de zeer gebruiksvriendelijke manier van upgraden. Men hoeft de computer niet eens opnieuw te starten na een Firefox-upgrade! Ja mensen u leest het goed: UW BROWSER UPGRADEN ZONDER UW PC TE HERSTARTEN, HET KAN MET FIREFOX!
Het is jammer dat zo'n scan-site als http://bcheck.scanit.be/bcheck/ nog niet de laatste lekken kan testen.
In elk geval zijn de openstaande lekken in Firefox traditiegetrouw minder ernstig dan die in Internet Explorer (7).
Op het UTF-lek na zijn de lekken met rating Critical en High en een Moderate redelijk te voorkomen door geen Javascript toe te staan. Bijvoorbeeld met NoScript. Dat verkleint de kans op ellende een heel stuk.
Gelukkig hoeven Firefox-gebruikers niet lang onbeschermd te zijn door de zeer gebruiksvriendelijke manier van upgraden. Men hoeft de computer niet eens opnieuw te starten na een Firefox-upgrade! Ja mensen u leest het goed: UW BROWSER UPGRADEN ZONDER UW PC TE HERSTARTEN, HET KAN MET FIREFOX!
Het is jammer dat zo'n scan-site als http://bcheck.scanit.be/bcheck/ nog niet de laatste lekken kan testen.
In elk geval zijn de openstaande lekken in Firefox traditiegetrouw minder ernstig dan die in Internet Explorer (7).
24-09-2008, 23:43 door
spatieman
boeie gewoon.
Dan updaten we toch gewoon weer...
Dan updaten we toch gewoon weer...
25-09-2008, 07:40 door
Zipper306
Houd dat nu nooit eens op, dat schoppen naar Mozilla en Microsoft ?
De Goolge Crome Browser en dat ding de Safari browser van Apple, die zijn pas echt goed en veilig, die jongen maken ten miste geen lekken bekend. Ze zijn dus volmaakt, want ze hebben geen lekken.
Dus deze twee laatsten moeten gewoon wel goed zijn.
De Goolge Crome Browser en dat ding de Safari browser van Apple, die zijn pas echt goed en veilig, die jongen maken ten miste geen lekken bekend. Ze zijn dus volmaakt, want ze hebben geen lekken.
Dus deze twee laatsten moeten gewoon wel goed zijn.
25-09-2008, 07:51 door
XM16E1
Google Crome Browser maakt geen lekken bekend? was dat sarcastisch of wat?
Reageren
Deze posting is gelocked. Reageren is niet meer mogelijk.
IT Security Officer
Utrecht heeft jou nodig! Als Information Security Officer vertaal je beleid naar technische uitvoering. Dit is cruciaal voor het waarborgen van de informatiebeveiliging van onze inwoners. Je krijgt de kans om betrokken te zijn bij complexe projecten met de nieuwste technologieën en kunt jouw stempel drukken op innovatie. Solliciteer nu!
Ketenregisseur Gedigitaliseerde Criminaliteit en Cybercrime
Ben jij er klaar voor om de leiding te nemen in het bevorderen van de regionale samen-werking in de strijd tegen gedigitaliseerde criminaliteit en cybercrime? Samen met collega's, politie en regionale en landelijke partners? Dan is de dynamische rol van Ketenregisseur Gedigitaliseerde Criminaliteit en Cybercrime bij het Regionaal Samenwerkingsverband Integrale Veiligheid (RSIV) jouw op het lijf geschreven!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.