Firefox 39 checkt Mac- en Linux-downloads op malware
Mozilla heeft een nieuwe versie van Firefox uitgebracht, waarin 22 beveiligingslekken zijn verholpen, waaronder de Logjam-aanval. Daarnaast worden voortaan downloads van Mac- en Linux-gebruikers op malware gecontroleerd. Van de 22 kwetsbaarheden zijn er 13 als "kritiek" aangemeld, wat inhoudt dat een aanvaller een computer volledig kan overnemen als er met een kwetsbare Firefox-versie een gehackte of kwaadaardige website wordt bezocht. Dat blijkt uit de release notes van Firefox 39.
Hoewel Mozilla zelf 13 kwetsbaarheden aangeeft, blijkt dat de updates soms meerdere lekken verhelpen. Door naar het aantal CVE-nummers te kijken kan het werkelijke aantal opgeloste kwetsbaarheden worden geteld. Eén van de updates is voor de Logjam-aanval. Via de Logjam-aanval kan een aanvaller, die zich tussen het slachtoffer en het internet bevindt, kwetsbare TLS-verbindingen naar een 512-bit encryptie downgraden.
Hierdoor kan een aanvaller alle data over de versleutelde verbinding ontcijferen en zo lezen of aanpassen. In de library die Firefox voor encryptie-toepassingen gebruikt is dit nu verholpen door geen Diffie-Helman priemgetallen kleiner dan 1024 te accepteren. Een oplossing die de onderzoekers die het probleem ontdekten ook adviseren.
Een ander probleem raakte alleen Mac-gebruikers. Crashrapportages van de OS X-versie bleken soms persoonlijke informatie te bevatten. In de rapportages werd de toets meegestuurd die de crash veroorzaakte, maar soms werden er ook toetsaanslagen meegestuurd. Ook een probleem in de ingebouwde PDF-lezer van Firefox is verholpen. Via de kwetsbaarheid kon willekeurige code worden uitgevoerd.
Downloadcontrole
Een nieuwe feature in Firefox 39 is het gebruik van de Safe Browsingtechnologie van Google om alle gedownloade bestanden op malware te controleren. Zodra de gebruiker een applicatiebestand downloadt wordt eerst de digitale handtekening gecontroleerd. Is het bestand gesigneerd, dan vergelijkt Firefox de handtekening met een lijst van bekende, veilige uitgevers. Aan de hand van de lijst kan worden bepaald of een bestand veilig is of malware.
In het geval het bestand niet kan worden geïdentificeerd kan Firefox de Google Safebrowsingdienst vragen of de software veilig is. Hiervoor wordt metadata van de download naar Google gestuurd. De maatregel staat ingeschakeld voor Mac OS X en Linux. Updaten naar Firefox 39 kan via de browser of Mozilla.org.
Thunderbird
Veel van dezelfde problemen waar Firefox mee te maken heeft zijn ook in Thunderbird aanwezig. Mozilla heeft daarom Thunderbird 38.1 aangekondigd. Deze versie is echter nog niet te downloaden. De planning was om deze versie aan het einde van deze week te lanceren, maar Thunderbird 38.1 is nog altijd niet verschenen. Dat houdt in dat gebruikers van de e-mailclient in potentie risico lopen, omdat informatie over de beveiligingslekken al wel bekend is gemaakt. Op het moment van schrijven is Thunderbird 38.0.1 de meest recente versie.
In het geval het bestand niet kan worden geïdentificeerd kan Firefox de Google Safebrowsingdienst vragen of de software veilig is. Hiervoor wordt metadata van de download naar Google gestuurd.
Hmmm... En als je bijv. bankafschriften download bij je bank? Willen wij dit graag aan Google en consorten vertellen?
(op zijn minst de informatie over bij welke bank je zit)
geef daarna aan dat je voorzichtig zult zijn (lees tekst webpagina firefox wel even door a.u.b.)
zoeken in de bovenste balk via zoekterm: Safebrowsing
dubbelklik op de volgende items:
browser.safebrowsing.downloads.enabled
browser.safebrowsing.enabled
browser.safebrowsing.malware.enabled
services.sync.prefs.sync.browser.safebrowsing.enabled
services.sync.prefs.sync.browser.safebrowsing.malware.enabled
google safebrowsing is nu uitgeschakeld. let op: deze veranderingen doorvoeren is op eigen risico!
Heee hooo (STOP),
Wat is dit voor advies ANAK?
Wat wil je hiermee bereiken?
Wil je hiermee bereiken dat gebruikers niet door hun browser gewaarschuwd worden als ze een al browsend dreigen een malicious url (webpagina) te bezoeken ?! !
Besmetting met bijvoorbeeld Cryptolocker is inderdaad een manier om je privacy niveau sterk te verhogen, kan niemand er voorlopig meer bij (ook Google niet), denk alleen niet dat heel veel mensen blij zijn met een dergelijke oplossing.
Dit was vast je opzet niet achter het advies, maar het is wel de gevaarlijke praktische consequentie van je antwoord!
Ga dus s.v.p. niet zomaar lukraak mensen lopen adviseren om wijzigingen in de about:config aan te brengen (hoezo op welk soort eigen risico?) en feitelijk impliciet te adviseren hun browser beveiliging op te heffen zonder erbij te vertellen wat nou eigenlijk de consequentie is en waarom je dat zou willen met voordelen en nadelen erbij Anak.
Google safebrowsing techniek zit overigens in meerdere browsers en over de werking van de manier waarop safebrowsing werkt bestaan technische en privacy misverstanden die elke keer weer terugkomen, probeer in ieder geval de misverstanden niet te benadrukken maar leg uit en geef de voor en nadelen aan van je advies.
;|
geef daarna aan dat je voorzichtig zult zijn (lees tekst webpagina firefox wel even door a.u.b.)
zoeken in de bovenste balk via zoekterm: Safebrowsing
dubbelklik op de volgende items:
browser.safebrowsing.downloads.enabled
browser.safebrowsing.enabled
browser.safebrowsing.malware.enabled
services.sync.prefs.sync.browser.safebrowsing.enabled
services.sync.prefs.sync.browser.safebrowsing.malware.enabled
google safebrowsing is nu uitgeschakeld. let op: deze veranderingen doorvoeren is op eigen risico!
Heee hooo (STOP),
Wat is dit voor advies ANAK?
Wat wil je hiermee bereiken?
Wil je hiermee bereiken dat gebruikers niet door hun browser gewaarschuwd worden als ze een al browsend dreigen een malicious url (webpagina) te bezoeken ?! !
Besmetting met bijvoorbeeld Cryptolocker is inderdaad een manier om je privacy niveau sterk te verhogen, kan niemand er voorlopig meer bij (ook Google niet), denk alleen niet dat heel veel mensen blij zijn met een dergelijke oplossing.
Dit was vast je opzet niet achter het advies, maar het is wel de gevaarlijke praktische consequentie van je antwoord!
Ga dus s.v.p. niet zomaar lukraak mensen lopen adviseren om wijzigingen in de about:config aan te brengen (hoezo op welk soort eigen risico?) en feitelijk impliciet te adviseren hun browser beveiliging op te heffen zonder erbij te vertellen wat nou eigenlijk de consequentie is en waarom je dat zou willen met voordelen en nadelen erbij Anak.
Google safebrowsing techniek zit overigens in meerdere browsers en over de werking van de manier waarop safebrowsing werkt bestaan technische en privacy misverstanden die elke keer weer terugkomen, probeer in ieder geval de misverstanden niet te benadrukken maar leg uit en geef de voor en nadelen aan van je advies.
;|
Prima advies van Anak, je moet niet zo zeuren. Ik mag toch hopen dat iedere gebruiker toch een goede virusscanner en iets van een malware scanner heeft? Waarom staat die Google zut standaard aan i.p.v. als keuze?
Komt die hele DRM shit van Mozilla er ook nog eens biuj plus dat Firefox je originele IP adres meestuurt indien je met een VPN connect, maakt dat Firefox en privacy steeds minder met elkaar te maken hebben. Goed dus dat iemand er tenminste iets over kan adviseren. Uiteindelijk is het aan de gebruiker zelf om zijn eigen broek op te houden qua beveiliging,
geef daarna aan dat je voorzichtig zult zijn (lees tekst webpagina firefox wel even door a.u.b.)
zoeken in de bovenste balk via zoekterm: Safebrowsing
dubbelklik op de volgende items:
browser.safebrowsing.downloads.enabled
browser.safebrowsing.enabled
browser.safebrowsing.malware.enabled
services.sync.prefs.sync.browser.safebrowsing.enabled
services.sync.prefs.sync.browser.safebrowsing.malware.enabled
google safebrowsing is nu uitgeschakeld. let op: deze veranderingen doorvoeren is op eigen risico!
Heee hooo (STOP),
Wat is dit voor advies ANAK?
Wat wil je hiermee bereiken?
Wil je hiermee bereiken dat gebruikers niet door hun browser gewaarschuwd worden als ze een al browsend dreigen een malicious url (webpagina) te bezoeken ?! !
Besmetting met bijvoorbeeld Cryptolocker is inderdaad een manier om je privacy niveau sterk te verhogen, kan niemand er voorlopig meer bij (ook Google niet), denk alleen niet dat heel veel mensen blij zijn met een dergelijke oplossing.
Dit was vast je opzet niet achter het advies, maar het is wel de gevaarlijke praktische consequentie van je antwoord!
Ga dus s.v.p. niet zomaar lukraak mensen lopen adviseren om wijzigingen in de about:config aan te brengen (hoezo op welk soort eigen risico?) en feitelijk impliciet te adviseren hun browser beveiliging op te heffen zonder erbij te vertellen wat nou eigenlijk de consequentie is en waarom je dat zou willen met voordelen en nadelen erbij Anak.
Google safebrowsing techniek zit overigens in meerdere browsers en over de werking van de manier waarop safebrowsing werkt bestaan technische en privacy misverstanden die elke keer weer terugkomen, probeer in ieder geval de misverstanden niet te benadrukken maar leg uit en geef de voor en nadelen aan van je advies.
;|
Prima advies van Anak, je moet niet zo zeuren. Ik mag toch hopen dat iedere gebruiker toch een goede virusscanner en iets van een malware scanner heeft? Waarom staat die Google zut standaard aan i.p.v. als keuze?
Komt die hele DRM shit van Mozilla er ook nog eens biuj plus dat Firefox je originele IP adres meestuurt indien je met een VPN connect, maakt dat Firefox en privacy steeds minder met elkaar te maken hebben. Goed dus dat iemand er tenminste iets over kan adviseren. Uiteindelijk is het aan de gebruiker zelf om zijn eigen broek op te houden qua beveiliging,
We hebben het over OS X en Linux.
Ik denk dat nog niet 30% van de users een AV heeft geinstalleerd en een klein deel daarvan daadwerkelijk Realtime protectie heeft.
Ik zou niet rotzooien met die setting en gewoon accepteren dat een 3rd party je weerhoudt van malware te downloaden.
Top !
Prima advies van Anak, je moet niet
Wat moeten betreft is eerst goed lezen voordat je reageert een aanbeveling
Wat is dit voor advies ANAK?
Wat wil je hiermee bereiken?
Wil je hiermee bereiken dat gebruikers niet door hun browser gewaarschuwd worden als ze al browsend dreigen een malicious url (webpagina) te bezoeken ?! !
...
Dit was vast je opzet niet achter het advies, maar het is wel de gevaarlijke praktische consequentie van je antwoord!
ik gaf advies op grond van een vraag, ik zei dus niet dat ie het moest doen.
bovendien zei ik dat het op eigen risico was. dus...
Je bent best in staat te snappen wat ik bedoelde, maar dan moet je wel de moeite nemen te lezen wat ik schreef.
Ik heb er voor de zekerheid een deel van de quote die je wegliet er maar weer bijgeplaatst (hoe vaak kan een tekst herhaald worden op een pagina, nou best vaak.. ).
Het en passant uitschakelen van een functie als safebrowsing is wel wat anders qua risico als dat andere waar je je zo druk om maakte (logjam), de zorgvuldigheid die je op dat onderwerp had ontbrak hier even, een risico als dit moet je uitleggen!
Ook genoeg lezers hier die je daarmee in de problemen zou kunnen helpen en dat is niet de bedoeling.
Dus niks firma blanco verantwoordelijkheid & eigen risico voor de ander.
Beetje oppassen dus met wat je adviseert.
Dus.
Er zijn weinig banken die hun afschriften in de form van een applicatie of andere executable aanbieden.
…De maatregel staat ingeschakeld voor Mac OS X en Linux.
Zijn de metadata van windows dan niet geschikt om betrouwbaar te testen, of wat is anders de reden dat dit alleen op Unix gebaseerde systemen gebeurd?
zie o.a.:
https://developers.google.com/safe-browsing/
en
https://en.wikipedia.org/wiki/Google_Safe_Browsing#Privacy
en de discussie omtrent de implementatie van SafeBrowsing in Firefox
https://bugzilla.mozilla.org/show_bug.cgi?id=329292
Conclusie: er wordt door mijn gewaardeerde collega reageerders een hoop geluld.
zie o.a.:
https://developers.google.com/safe-browsing/
en
https://en.wikipedia.org/wiki/Google_Safe_Browsing#Privacy
en de discussie omtrent de implementatie van SafeBrowsing in Firefox
https://bugzilla.mozilla.org/show_bug.cgi?id=329292
Conclusie: er wordt door mijn gewaardeerde collega reageerders een hoop geluld.
Het en passant uitschakelen van een functie als safebrowsing is wel wat anders qua risico als dat andere waar je je zo druk om maakte (logjam), de zorgvuldigheid die je op dat onderwerp had ontbrak hier even, een risico als dit moet je uitleggen!
Ook genoeg lezers hier die je daarmee in de problemen zou kunnen helpen en dat is niet de bedoeling.
Dus de lezers hier zijn niet in staat om de context en toelichting bij de gegeven instructies te begrijpen? Men is toch niet gek! (al willen sommigen hier dat blijkbaar graag suggereren).
Dus niks firma blanco verantwoordelijkheid & eigen risico voor de ander.
Beetje oppassen dus met wat je adviseert.
Dus.
Prima advies van Anak met duidelijke en afdoende toelichting m.b.t. de risico's.
Klopt. Er werd standaard helemaal niets naar Google gestuurd bij SafeBrowsing. De nieuwe toevoeging is dat er op Unix gebaseerde systemen wel iets opgestuurd kan gaan worden. Voor de grote groep windows gebruikers is dat echter niet het geval, daarom is het ook een ondoordachte suggestie dit uit te zetten zonder de randvoorwaarden op te geven.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Cyber Security Trainer
"You know that feeling after you have been to the cinema and seen an exciting movie? It's the same after this training. I can only say that this is probably the BEST TRAINING that I've ever done!!!”
Are you ready for a challenge?
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.