Mozilla: hackers hadden mazzel met Firefox-lek
Het lek waardoor Firefox op de derde dag van de Pwn2Own-hackerwedstrijd toch nog werd gehackt, was al door Mozilla gepatcht. De kwetsbaarheid zorgde ervoor dat onderzoekers Vincenzo 'Snagg' Lozzo en Willem 'Dvorak' Pinckaers op het onderliggende Windows 7 systeem willekeurige code kon uitvoeren. Met het lek verdienden de twee 23.000 euro.
Patch
Het lek was echter al opgelost in de bètaversie van Firefox 11 en zou Firefox 10 op een aantal dagen na zijn misgelopen, aldus Mozilla beveiligingschef Daniel Veditz op Twitter. Hij merkt op dat Mozilla nooit beveiligingsupdates noemt totdat er een patch beschikbaar is. "Anders zouden we onze gebruikers aan zero-days blootstellen."
Veditz denkt niet dat de twee hackers de logbestanden hebben doorgespit. "Ik denk het niet, ik denk dat we gewoon geluk hadden om de fix al achter de hand te hebben." Voor vandaag staat Firefox 11 gepland, die Mozilla later deze automatisch onder gebruikers zal verspreiden.
Ik denk dat gebruikers dagelijks zijn blootgesteld aan zero-days.
Niemand kan garanderen dat er niet ergens booswichten zijn die allerlei niet gemelde lekken uitbuiten.
Wat je niet weet of ziet dat is er niet, dat is struisvogelpolitiek.
Wat je niet weet of ziet dat is er niet, dat is struisvogelpolitiek.
Deels. Uit het artikel valt te lezen dat ze al een patch klaar hadden en deze binnenkort ging uitgerold worden. Als ze bij elk lek die gevonden wordt, hoe klein ook, moeten updaten stoor je de gebruikerservaring volgens sommigen. Ik ben akkoord dat zero days zo snel mogelijk gedicht moeten worden (ook al zijn ze 'nog niet gekend') maar als je over twee dagen al een update gepland hebt, waarom de gebruiker dan twee keer 'storen'?
Gebruikers die er niet veel van af weten beginnen dan misschien onterecht te klagen dat Mozilla 'half werk levert'.
Vanaf Firefox 12 (als volledig op de achtergrond wordt geüpdatet) wordt dit mss anders.
Ik denk dat gebruikers dagelijks zijn blootgesteld aan zero-days.
Niemand kan garanderen dat er niet ergens booswichten zijn die allerlei niet gemelde lekken uitbuiten.
Wat je niet weet of ziet dat is er niet, dat is struisvogelpolitiek.
Aan zero-day lekken valt niet gek veel te doen, iedereen die software gebruikt loopt zero-day lekken risico's. Inderdaad kan niemand garanderen dat er in een product geen zero-day lek zit. Maar waar haal je vandaan dat er iemand aan struisvogelpolitiek doet? Dat mis ik een beetje in jouw verhaal.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Chief Information Security Officer
Met jou als Chief Information Security Officer werken we samen aan het inrichten van een digitale leer-, werk- en onderzoeksomgeving en investeren in digitalisering. De beveiliging van alle daarbij gebruikte middelen en informatie én het zorgen voor bewustzijn bij alle partijen is hierbij een belangrijke pijler. Daar kom jij in beeld.
IT Security Officer
Utrecht heeft jou nodig! Als Information Security Officer vertaal je beleid naar technische uitvoering. Dit is cruciaal voor het waarborgen van de informatiebeveiliging van onze inwoners. Je krijgt de kans om betrokken te zijn bij complexe projecten met de nieuwste technologieën en kunt jouw stempel drukken op innovatie. Solliciteer nu!
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.