image

Mozilla patcht 18 lekken in Firefox 36 en voegt HTTP/2 toe

woensdag 25 februari 2015, 10:25 door Redactie, 7 reacties

Mozilla heeft een nieuwe versie van Firefox uitgegeven waarin 18 beveiligingslekken zijn verholpen, waarvan vier zo ernstig dat alleen het bezoeken van een gehackte of kwaadaardige website voldoende was om een aanvaller de computer te laten overnemen. Verdere interactie was niet vereist.

Firefox 36 voegt ook ondersteuning voor het HTTP/2-protocol toe. HTTP/2 moet voor een sneller, beter schaalbaar en meer "responsive" web zorgen. Een andere aanpassing is het uitfaseren van certificaten met 1024-bit RSA-sleutels. Iets wat Mozilla al vorige maand had aangekondigd. Naast Firefox zijn er ook nieuwe versies van Firefox ESR en de e-mailclient Thunderbird verschenen. Deze gebruikers krijgen het advies om naar versie 31.5 te upgraden. Updaten kan via de browser en e-mailclient of Mozilla.org.

Reacties (7)
25-02-2015, 12:56 door Anoniem
ik zie er niet 4 maar 3 op https://www.mozilla.org/en-US/security/known-vulnerabilities/firefox/ waarbij een aanvaller alleen al bij een bezoek de computer kan overnemen.
25-02-2015, 14:46 door Mysterio
Door Anoniem: ik zie er niet 4 maar 3 op https://www.mozilla.org/en-US/security/known-vulnerabilities/firefox/ waarbij een aanvaller alleen al bij een bezoek de computer kan overnemen.
Dat is een beetje een populair worst-kaas scenario waarbij een kwetsbaarheid wordt gebruikt om bijvoorbeeld een R.A.T. te installeren.
25-02-2015, 17:18 door FlamingFireFunky
Bij mij chrasht FF 36 continu, en nu kan ik 'm niet eens meer openen. Krijg de melding dat FF al actief is. Zelfs via Process Explorer kill process krijg ik het kreng niet afgesloten.
25-02-2015, 19:07 door Anoniem
Updaten kan via de browser en e-mailclient of Mozilla.org.

Updaten vanuit de app gaat over poort 80 en je mist de handmatige hash controle.
Op een security site zouden dus op zich verwijzingen naar de download directories met de controle hashes niet misstaan.
Juist ook omdat het een security aanbeveling is dat wat je aan software hebt gedownload ook te controleren!
Des te opmerkelijker dat op de gewone browser download pagina's regelmatig geen hash staat vermeld.

Bij deze wat directe links :

Mozilla downloads
https://ftp.mozilla.org/pub/mozilla.org/

Mozilla Firefox downloads
https://ftp.mozilla.org/pub/mozilla.org/

Firefox downloads overzicht
https://ftp.mozilla.org/pub/mozilla.org/firefox/releases/

Standaard Firefox
https://ftp.mozilla.org/pub/mozilla.org/firefox/releases/latest/
https://ftp.mozilla.org/pub/mozilla.org/firefox/releases/latest/SHA1SUMS

ESR Firefox, Extended Support Release
(minder toeters en bellen, nog stabieler!)
https://ftp.mozilla.org/pub/mozilla.org/firefox/releases/latest-esr/
https://ftp.mozilla.org/pub/mozilla.org/firefox/releases/latest-esr/SHA1SUMS

Thunderbird downloads
https://ftp.mozilla.org/pub/mozilla.org/thunderbird/releases/latest/
https://ftp.mozilla.org/pub/mozilla.org/thunderbird/releases/latest/SHA1SUMS

Opmerkelijk genoeg is de nieuwe versie echter nog niet geplaatst in deze directory, daarom dan rechtstreeks naar de directory van deze release.
Dat is voor deze keer :
https://ftp.mozilla.org/pub/mozilla.org/thunderbird/releases/31.5.0/
https://ftp.mozilla.org/pub/mozilla.org/thunderbird/releases/31.5.0/SHA1SUMS


Seamonkey downloads
https://ftp.mozilla.org/pub/mozilla.org/seamonkey/
Nog niet alle versies voor de diverse talen lijken te zijn bijgewerkt.


Dan, niet te vergeten de op security.nl in populariteit groeiende browser * :

Torbrowser

Torbrowser overzicht directory
Waar de gewone release te vinden is en de Alfa (a) versie
https://www.torproject.org/dist/torbrowser/

Standaard Torbrowser
Deze keer is dat de release
https://dist.torproject.org/torbrowser/4.0.4/
Mocht je het controleren van de .asc -"PGP SIGNATURE" teveel gedoe vinden, SHA256 kan ook
https://dist.torproject.org/torbrowser/4.0.4/sha256sums.txt

Nieuwste Alfa versie Torbrowser
De geüpdate release van de Alfa versie met diverse nieuwe functies
https://dist.torproject.org/torbrowser/4.5a4/
Mocht je het controleren van de "PGP SIGNATURE" teveel gedoe vinden, SHA256 kan ook
https://dist.torproject.org/torbrowser/4.5a4/sha256sums.txt


* Stil vermoeden en daarom 'Poll time' ! : "Welke privacy browser gebruik jij om je privacy maximaal te beschermen?"
25-02-2015, 20:25 door Anoniem
Door Anoniem:
Updaten kan via de browser en e-mailclient of Mozilla.org.

Updaten vanuit de app gaat over poort 80 en je mist de handmatige hash controle.
Op een security site zouden dus op zich verwijzingen naar de download directories met de controle hashes niet misstaan.
Juist ook omdat het een security aanbeveling is dat wat je aan software hebt gedownload ook te controleren!
Des te opmerkelijker dat op de gewone browser download pagina's regelmatig geen hash staat vermeld.

Bij deze wat directe links :

Mozilla downloads
https://ftp.mozilla.org/pub/mozilla.org/

Mozilla Firefox downloads
https://ftp.mozilla.org/pub/mozilla.org/

Firefox downloads overzicht
https://ftp.mozilla.org/pub/mozilla.org/firefox/releases/

Standaard Firefox
https://ftp.mozilla.org/pub/mozilla.org/firefox/releases/latest/
https://ftp.mozilla.org/pub/mozilla.org/firefox/releases/latest/SHA1SUMS

ESR Firefox, Extended Support Release
(minder toeters en bellen, nog stabieler!)
https://ftp.mozilla.org/pub/mozilla.org/firefox/releases/latest-esr/
https://ftp.mozilla.org/pub/mozilla.org/firefox/releases/latest-esr/SHA1SUMS

Thunderbird downloads
https://ftp.mozilla.org/pub/mozilla.org/thunderbird/releases/latest/
https://ftp.mozilla.org/pub/mozilla.org/thunderbird/releases/latest/SHA1SUMS

Opmerkelijk genoeg is de nieuwe versie echter nog niet geplaatst in deze directory, daarom dan rechtstreeks naar de directory van deze release.
Dat is voor deze keer :
https://ftp.mozilla.org/pub/mozilla.org/thunderbird/releases/31.5.0/
https://ftp.mozilla.org/pub/mozilla.org/thunderbird/releases/31.5.0/SHA1SUMS


Seamonkey downloads
https://ftp.mozilla.org/pub/mozilla.org/seamonkey/
Nog niet alle versies voor de diverse talen lijken te zijn bijgewerkt.


Dan, niet te vergeten de op security.nl in populariteit groeiende browser * :

Torbrowser

Torbrowser overzicht directory
Waar de gewone release te vinden is en de Alfa (a) versie
https://www.torproject.org/dist/torbrowser/

Standaard Torbrowser
Deze keer is dat de release
https://dist.torproject.org/torbrowser/4.0.4/
Mocht je het controleren van de .asc -"PGP SIGNATURE" teveel gedoe vinden, SHA256 kan ook
https://dist.torproject.org/torbrowser/4.0.4/sha256sums.txt

Nieuwste Alfa versie Torbrowser
De geüpdate release van de Alfa versie met diverse nieuwe functies
https://dist.torproject.org/torbrowser/4.5a4/
Mocht je het controleren van de "PGP SIGNATURE" teveel gedoe vinden, SHA256 kan ook
https://dist.torproject.org/torbrowser/4.5a4/sha256sums.txt


* Stil vermoeden en daarom 'Poll time' ! : "Welke privacy browser gebruik jij om je privacy maximaal te beschermen?"
Bij Torbrowser alleen maar de SHA256 gebruiken ipv PGP kan inderdaad maar is ook stukken onveiliger. Daarnaast is het ook discutabel om bij de Firefox downloads te linken naar SHA1 sums terwijl er ook veel sterkere SHA512 sums beschikbaar zijn, en de hashsum files van Mozilla hebben trouwens ook nog een PGP signature.
25-02-2015, 20:28 door Anoniem
Door FlamingFireFunky: Bij mij chrasht FF 36 continu, en nu kan ik 'm niet eens meer openen. Krijg de melding dat FF al actief is. Zelfs via Process Explorer kill process krijg ik het kreng niet afgesloten.
Ja dat probleem heb ik ook heel vaak met Firefox, zeer vervelend en Mozilla schijnt het niet zoveel te kunnen schelen.

Tegenwoordig gebruik ik Chromium want dat werkt namelijk wel gewoon goed deze dag.
25-02-2015, 22:32 door Anoniem
Door Anoniem:
Door Anoniem:
Updaten kan via de browser en e-mailclient of Mozilla.org.

Updaten vanuit de app gaat over poort 80 en je mist de handmatige hash controle.
Op een security site zouden dus op zich verwijzingen naar de download directories met de controle hashes niet misstaan.
Juist ook omdat het een security aanbeveling is dat wat je aan software hebt gedownload ook te controleren!
Des te opmerkelijker dat op de gewone browser download pagina's regelmatig geen hash staat vermeld.

Bij deze wat directe links :

...<<<Knipppppppppppppppperrrrrrrdeknippppppppppppp>>>...

Standaard Firefox
https://ftp.mozilla.org/pub/mozilla.org/firefox/releases/latest/
https://ftp.mozilla.org/pub/mozilla.org/firefox/releases/latest/SHA1SUMS[/i]

...<<<Knipppppppppppppppperrrrrrrdeknippppppppppppp>>>...

Bij Torbrowser alleen maar de SHA256 gebruiken ipv PGP kan inderdaad maar is ook stukken onveiliger. ...
En stukkken meer geouwehoer, 'zoveel meer' geouwehoer dat de kans bij aangeboden PGP signatures bijzonder groot is dat nogal wat gebruikers het controleren misschien wel helemaal laten zitten (het zou mij in het geheel niet verbazen).
Dat is relatief gezien nog veel onveiliger.
Vandaar preventief de gemaakte opmerkingen over de sha256 mogelijkheid.

Aanvullend kan je ervoor kiezen om twee keer (of zelfs 3) van een andere exitnode te downloaden en een check te doen.

Daarnaast is het ook discutabel om bij de Firefox downloads te linken naar SHA1 sums terwijl er ook veel sterkere SHA512 sums beschikbaar zijn, en de hashsum files van Mozilla hebben trouwens ook nog een PGP signature.
Precies!
Ehh, hoe weet jij dat dan van die andere sums waaronder de SHA512 ?
Oh verrek,
dat overzichtje is al direct te zien in de gegeven links direct boven de sha1 links. ;)
Maar je hebt helemaal gelijk dat er sterkere sums in het overzicht zitten, de sha1 leek me een aardig midden tussen de MD5 en de SHA512, SHA1 controleren kunnen de meesten wel, hoe dat met de 512 en PGP zit? Ik vermoed dat dat nogal tegenvalt.

Discutabele overweging, laat de hele quote voortaan zitten en gebruik dat veld niet voor herhaling maar voor nieuwe nuttige extra informatie. Informatie over het controleren van de diverse sha sums of PGP signatures bijvoorbeeld.

20:25 ;)


Ah, vergeet ik het (plaatsvervangend) bijna weer te plaatsen
https://www.torproject.org/docs/verifying-signatures.html.en

Meesterlijk quootje nog
Notice that there is a warning because you haven't assigned a trust index to this person. This means that GnuPG verified that the key made that signature, but it's up to you to decide if that key really belongs to the developer. The best method is to meet the developer in person and exchange key fingerprints.
Over stukken veiliger gesproken. Maar als ik toch live met hem afspreek kan hij/zij me de software ook wel direct overhandigen.
;)
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.