Mozilla patcht meerdere kwetsbaarheden in Firefox
Er is een nieuwe versie van Firefox verschenen waarmee Mozilla meerdere kwetsbaarheden in de browser heeft verholpen. Via de kwetsbaarheden was het onder andere mogelijk om de adresbalk te spoofen en de browser te laten crashen. Volgens Mozilla zou het met genoeg moeite waarschijnlijk mogelijk zijn om via deze browsercrashes willekeurige code op het systeem uit te voeren, zoals de installatie van malware.
Aangezien het uitvoeren van code via deze kwetsbaarheden niet is aangetoond heeft Mozilla de beveiligingslekken niet als kritiek, maar als "high" bestempeld. Deze beoordeling wordt gegeven aan kwetsbaarheden waarmee het mogelijk is om data in andere geopende browsertabs te stelen of manipuleren. De in totaal zeven beveiligingslekken zijn gepatcht in Firefox 77.
Voor gebruikers van Firefox ESR is versie 68.9 verschenen. Van de zeven kwetsbaarheden in de normale Firefox-versie zijn er slechts twee aanwezig in de ESR-versie. De Extended Support Release (ESR) van Firefox is een versie die alleen maar beveiligingsupdates ontvangt en vooral is bedoeld voor bedrijven en organisaties die geen nieuwe features willen. Updaten kan via de automatische updatefunctie of Mozilla.org.
https://www.bleepingcomputer.com/news/security/web-browsers-still-allow-drive-by-downloads-in-2020/
De site om dit te testen (geldt dus ook voor andere browsers) vindt men hier:
https://cr.kungfoo.net/yao/downloads/auto_download_in_sandbox.html
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.
Senior securityspecialist
Agentschap Telecom
De cyberveiligheid van Nederland valt of staat met veilige producten, diensten en processen. Agentschap Telecom houdt Nederland veilig verbonden. Binnenkort krijgen wij een nieuwe taak als toezichthouder op cybercertificeringen. Jouw professionaliteit als senior securityspecialist en pioniersgeest zijn essentieel om deze nieuwe unit succesvol op poten te zetten.
Certified Secure LIVE Online
Certified Secure is LIVE. Cross Site Scripting vinden en voorkomen? Met z'n allen een volledige kubernetes cluster compromitteren? Of gewoon voorkomen dat een collega op een phishing mail klikt? Ontwikkel ook terwijl je thuiswerkt je Hacker Mindset!
Zoals altijd zijn ook onze LIVE trainingen hands-on en met persoonlijke begeleiding van ervaren Certified Secure instructeurs. Direct vanuit je browser en dus zonder nasty extra software!
Neem contact met ons op voor de mogelijkheden voor jouw team.