image

Mozilla verhelpt kwetsbaarheden in Firefox-updatesysteem

dinsdag 9 oktober 2018, 16:15 door Redactie, 5 reacties

Mozilla heeft naar aanleiding van een beveiligingsaudit die door een externe partij is uitgevoerd verschillende kwetsbaarheden in het Firefox-updatesysteem verholpen. Het updatesysteem speelt een belangrijke rol in het voorkomen dat gebruikers gemanipuleerde software ontvangen.

De beveiligingsaudit vond eerder dit jaar plaats en werd door vier onderzoekers van het Duitse securitybedrijf X41 D-SEC gedurende een periode van 27 dagen uitgevoerd. De back-endservice die de updates regelt (Balrog) en de clientcode die de browser updatet werden bekeken. Het ging onder andere om een cryptografische review van het protocol dat voor het signeren van de updates wordt gebruikt en een handmatige codecontrole van alle onderdelen.

De onderzoekers vonden geen ernstige kwetsbaarheden. Wel werden verschillende andere beveiligingslekken ontdekt die van "low" tot "high" werden beoordeeld. Het ergste beveiligingslek betrof een Cross-Site Request Forgery (CSRF)-kwetsbaarheid in de interface van de beheerdersapplicatie. Hiermee had een aanvaller in bepaalde gevallen onbedoelde beheerdersacties kunnen uitvoeren.

Drie kwetsbaarheden die als "high" waren beoordeeld bevonden zich in de beheerdersconsole van Balrog. Om toegang tot dit systeem te krijgen, dat zich binnen het interne netwerk van Mozilla bevindt, moeten gebruikers zich meerdere keren authenticeren. Deze extra beveiligingslagen verkleinen het risico van de gevonden kwetsbaarheden, aldus Mozilla.

De andere problemen waren minder ernstig van aard en vereisten dat een aanvaller de cryptografische handtekening kon omzeilen. Alle gevonden kwetsbaarheden zijn verholpen. Daarnaast heeft Mozilla het rapport van de beveiligingsaudit openbaar gemaakt.

Reacties (5)
09-10-2018, 18:01 door Joep Lunaar
Mozilla neemt haar verantwoordelijkheid serieus.
Ongetwijfeld wordt het in acht nemen van de belangen van gebruikers, veiligheid is een heel belangrijke daarvan, echt een onderscheidend criterium; in elk geval dat moet het zijn.
09-10-2018, 18:53 door Anoniem
Door Joep Lunaar: Mozilla neemt haar verantwoordelijkheid serieus.
Ongetwijfeld wordt het in acht nemen van de belangen van gebruikers, veiligheid is een heel belangrijke daarvan, echt een onderscheidend criterium; in elk geval dat moet het zijn.

Namen ze de privacy van hun gebruikers nu ook maar eens serieus. Als ik een van de vele settings noem die toont hoe ambivalent Mozilla is: beacon.enabled on (default) weet een half oor al waar de echte proriteit ligt bij Mozilla.

Mozilla is voor mij een eenvoudig rekensommetje:
Respect voor Privacy = -1
Verantwoordelijkheidsgevoel = 1
Som = 0
Respons = dankzij een post elders hier ben ik op Waterfox geattendeerd.
10-10-2018, 11:04 door Anoniem
Mozilla neemt haar verantwoordelijkheid serieus.
Ongetwijfeld wordt het in acht nemen van de belangen van gebruikers, veiligheid is een heel belangrijke daarvan, echt een onderscheidend criterium; in elk geval dat moet het zijn.

Als er dit had gestaan
Microsoft neemt haar verantwoordelijkheid serieus.
Ongetwijfeld wordt het in acht nemen van de belangen van gebruikers, veiligheid is een heel belangrijke daarvan, echt een onderscheidend criterium; in elk geval dat moet het zijn.
Dan was het hele forum los gegaan.
En terecht, security bestaat niet bij de gratie van whishful thinking en vage aannames.
Gek genoeg komt mozilla er blijvend mee weg, want ja, open source en gratis dus dat paard mag je niet keuren.

Maar als het beestje nogal kreupel is en de tanden rot of er misschien wel sprake is van hondsdolheid zal er toch wat mee moeten gebeuren, al was het maar om het haar uit haar pijnlijk zichtbare lijden te verlossen en de omgeving concreet te beschermen.
Pappen en nathouden met veel morfine ertegenaan is niet in alle gevallen een raadzame oplossing, dat hoeft gelukkig dan ook niet met software.
Maar je moet het willen zien, een taak voor de omgeving en niet voor het arme paard.
10-10-2018, 15:21 door Anoniem
weet een half oor al waar de echte proriteit ligt bij Mozilla
Heb je wel opgezocht waar deze setting op doelt? Of is onderbuik en een ongefundeerde mening al voldoende voor je? FUD.
10-10-2018, 19:53 door Anoniem
Door Anoniem:
weet een half oor al waar de echte proriteit ligt bij Mozilla
Heb je wel opgezocht waar deze setting op doelt? Of is onderbuik en een ongefundeerde mening al voldoende voor je? FUD.

Praat jezelf a.u.b FUD aan. in plaats van je totaal onbekenden persoonlijk iets in de schoenen te schuiven.
Ken je mij?
Neen, dus verkoop de kwalificatie FUD aan familie, vrienden of in je kennissenkring waarop deze toespeling in je ogen van toepassing is vanuit face en face ervaringen.
Er is al meer dan genoeg ruis in de vorm van leugens en vooroordelen in deze wereld.
Dringende suggestie:
Draag daar niet aan bij.

m.b.t de wijze waarop je de reactie van je hebt ingekleed/verwoord: Niet mijn stijl, zoek het antwoord maar in het metiér waar je in je ogen wel positieve aantrekkingskracht op uitoefent.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.