image

Mozilla patcht 10 beveiligingslekken in Firefox 35

woensdag 14 januari 2015, 10:41 door Redactie, 4 reacties
Laatst bijgewerkt: 15-01-2015, 13:14

Mozilla heeft een nieuwe versie van Firefox uitgebracht waarin tien beveiligingslekken zijn verholpen, waarvan vier zo ernstig dat een aanvaller het onderliggende systeem in het ergste geval volledig kon overnemen als de gebruiker een kwaadaardige of gehackte website bezocht.

Naast de tien verholpen kwetsbaarheden bevat Firefox 35 ook een verbeterde versie van Firefox Hello, een videochat-applicatie waarmee gebruikers van verschillende browsers met elkaar kunnen communiceren. Verder wordt MP4-video op Mac OS X Snow Leopard en nieuwer nu standaard door de browser ondersteund. Een andere toevoeging is de ondersteuning van Public Key Pinning Extension voor HTTP.

De extensie is een uitbreiding van het HTTP-protocol en zorgt ervoor dat de browser het certificaat van een website voor een bepaalde tijd onthoudt. Bij het volgende bezoek van de gebruiker aan deze website wordt vergeleken of het eerder opgeslagen certificaat met het huidige certificaat overeenkomt. Is dit niet het geval, dan is er mogelijk sprake van een man-in-the-middle-aanval. Updaten naar Firefox 35 gebeurt in principe automatisch. Handmatig updaten kan via Mozilla.org.

Reacties (4)
14-01-2015, 10:51 door Erik van Straten
Ook voor de ESR versie van Firefox is er een update (naar v31.4.0), zie https://www.mozilla.org/en-US/security/known-vulnerabilities/firefox-esr/.

Handmatig updaten kan overigens ook door (als je nog ergens iets van een menubalk kunt terugvinden) in het Help menu te kiezen voor "About Firefox" (Engelstalige Windows versie) en in de about box op de knop "Check for Updates" te klikken.

Datzelfde geldt overigens ook voor Mozilla Thunderbird.
14-01-2015, 11:03 door [Account Verwijderd] - Bijgewerkt: 14-01-2015, 11:09
[Verwijderd]
14-01-2015, 13:23 door Anoniem
"In het geval de identiteiten niet overeenkomen zou er mogelijk sprake van een man-in-the-middle-aanval kunnen zijn. Iets wat "pinning" moet voorkomen.
HUH?... Zo ken ik er nog wel één:
In geval identiteiten niet overeenkomen zou er mogelijk sprake van een paspoortvervalser kunnen zijn.
Iets wat "BSN-nummercontrole" moet voorkomen...
14-01-2015, 20:57 door Anoniem
Releasedata

Mozilla

06-Jan-2015 : Firefox 31.4.0esr
10-Jan-2015 : Thunderbird 31.4.0
13-Jan-2015 : Firefox 35.0
14-Jan-2015 : Seamonkey 2.32/ (linux 13-jan-2015)

https://ftp.mozilla.org/pub/mozilla.org/


Torbrowser

13-Jan-2015 : Torbrowser 4.0.3 (based on Firefox ESR 31.4.0)
Spoedig? : Torbrowser 4.5-alpha-3 (met uitgebreide NoScript pre settings en TorHop weergave)

https://www.torproject.org/dist/torbrowser/
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.