Mozilla dicht ernstig Firefox-lek op 20 september
Mozilla zal aanstaande dinsdag 20 september met een beveiligingsupdate komen voor een ernstige kwetsbaarheid waardoor een aanvaller gebruikers die extensies hebben geïnstalleerd met malware kan infecteren. Het beveiligingslek werd gisteren al in Tor Browser gepatcht, dat op Firefox is gebaseerd.
Firefox installeert automatisch updates voor extensies via een https-verbinding. Daarbij maakt de browser ook gebruik van certificaatpinning voor het domein addons.mozilla.org. Certificaatpinning zorgt ervoor dat Firefox alleen certificaten accepteert die door bepaalde certificaatautoriteiten zijn uitgegeven. In het geval een aanvaller toch een certificaat voor addons.mozilla.org weet te bemachtigen, kan hij gebruikers niet via het updaten van extensies aanvallen, aangezien Firefox het gebruikte certificaat niet zal accepteren.
Door een fout in Firefox blijkt dit proces sinds 10 september dit jaar voor Firefox 48 en sinds 3 september dit jaar voor Firefox ESR 45.3.0 niet meer te werken. Een aanvaller die zich tussen Firefoxgebruikers en het internet bevindt en over een ssl-certificaat voor addons.mozilla.org beschikt kan zo kwaadaardige updates voor geïnstalleerde extensies verspreiden die automatisch bij de gebruiker worden geïnstalleerd. Het probleem speelt niet bij Firefox-gebruikers die geen extensies hebben geïnstalleerd. Bij veel gebruikers is dit echter wel het geval.
Volgens Mozilla zijn er geen aanwijzingen dat er een vals certificaat voor addons.mozilla.org is uitgegeven. Het zou echter vooral een probleem voor Tor Browser-gebruikers kunnen zijn die zich tegen landen en opsporingsdiensten willen beschermen. Daarom kwam het Tor Project gisteren al met een update voor Tor Browser. De update die het probleem in Firefox verhelpt zal Mozilla aanstaande dinsdag uitrollen.
Toch maar even van alle Plug-ins automatisch updaten uitgezet.
Dat wordt een hele drukke dag van uittesten.
Dinsdag komt Sierra uit.
Ik ben benieuwd wat Sierra brengt aan verbeteringnen,er zullen vast dingen zijn waar ik niet om gevraagd heb,maar gelukkig hoef ik die niet te gebruiken.
Dat wordt een hele drukke dag van uittesten.
Dinsdag komt Sierra uit.
Ik ben benieuwd wat Sierra brengt aan verbeteringnen,er zullen vast dingen zijn waar ik niet om gevraagd heb,maar gelukkig hoef ik die niet te gebruiken.
Als je het misschien heel snel uitspreekt klinkt macossierra
als mozilla. Even oefenen ;)
Maar geloof me het heeft weinig met elkaar te maken.
Mozilla loopt weliswaar flink te kloten de laatste anderhalf jaar maar een heel Mac Os X krijgen ze nog niet plat.
Verder is het verstandig op zijn minst te wachten met een upgrade naar Sierra tot de eerste update ervan uitkomt. Dat is meestal al binnen een maand of twee.
Zo mis je in ieder geval eventuele eerste belangrijke bugs of profiteer je direct van de juiste verfijningen.
Direct een uitgekomen upgrade van Apple installeren?
Niet doen, eerst even de kat uit de boom kijken is verstandig.
Dit geldt ook voor andere (merk)software upgrades overigens.
Dinsdag komt Sierra uit.
Ik ben benieuwd wat Sierra brengt aan verbeteringnen,er zullen vast dingen zijn waar ik niet om gevraagd heb,maar gelukkig hoef ik die niet te gebruiken.
Als je bedoelt m.b.t. FireFox - anders reageer je hier toch ècht off-topic - In totaal ben ik 4 keer overgegaan naar een nieuwe versie van OSX, in hinkstapsprong als je begrijpt wat ik bedoel, en heb nog nooit één probleem met FireFox ondervonden daardoor.
Ik gebruik FF ik dacht vanaf v.3 of v.4 (2009) dus héél waarschijnlijk - volgens mijn ervaringen met OSX upgrades - werkt FF woensdag nog net zo als voorheen.
moz-extension://904c050e-e3b8-4f45-b126-b72093751e55/-blank.html
Screenshot: http://i.imgur.com/igrdWr7.jpg
Vanwege de toevoeging 'blank' verwachtte ik al dat de pagina leeg was maar toch uitgetest: Rechtsklikken in het betreffende venster en Pagina-info bekijken kiezen leverde geen info op net zo min als rechtsklikken en kiezen voor Paginabron bekijken
Omdat ik tot en met dinsdag automatisch updaten van Extensies heb uitgeschakeld vanwege het momentele updatelek in FireFox vind ik deze pagina vreemd, te meer omdat in de FF profielmap een extensie met deze ID niet voorkomt.
Wie kan hier - in het algemeen belang - wat meer over zeggen?
Deze posting is gelocked. Reageren is niet meer mogelijk.
Ketenregisseur Gedigitaliseerde Criminaliteit en Cybercrime
Ben jij er klaar voor om de leiding te nemen in het bevorderen van de regionale samen-werking in de strijd tegen gedigitaliseerde criminaliteit en cybercrime? Samen met collega's, politie en regionale en landelijke partners? Dan is de dynamische rol van Ketenregisseur Gedigitaliseerde Criminaliteit en Cybercrime bij het Regionaal Samenwerkingsverband Integrale Veiligheid (RSIV) jouw op het lijf geschreven!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Cyber Security Trainer
"You know that feeling after you have been to the cinema and seen an exciting movie? It's the same after this training. I can only say that this is probably the BEST TRAINING that I've ever done!!!”
Are you ready for a challenge?
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.