image

Mozilla lanceert Firefox 94 met Site Isolation tegen sidechannel-aanvallen

dinsdag 2 november 2021, 15:23 door Redactie, 7 reacties

Mozilla heeft vandaag Firefox 94 gelanceerd die voorzien is van een beveiligingsfeature die gebruikers tegen sidechannel-aanvallen zoals Spectre moet beschermen. Site Isolation zorgt ervoor dat elke website in een apart besturingssysteemproces wordt geladen, wat het lastiger voor kwaadaardige sites maakt om data van andere websites te lezen.

Zonder Site Isolation zou het bijvoorbeeld via kwetsbaarheden als Spectre en Meltdown mogelijk voor malafide sites zijn om toegang tot gegevens van andere sites te krijgen. Om dergelijke aanvallen te voorkomen is het nodig dat elke site op OS-niveau in een apart proces wordt geladen. Firefox maakt al gebruik van verschillende processen om bijvoorbeeld webcontent te laden.

Toch biedt dit volgens Mozilla nog niet voldoende bescherming, omdat het kan voorkomen dat twee verschillende websites hetzelfde besturingssysteemproces gebruiken en zo het procesgeheugen delen. Vervolgens zou het via een kwetsbaarheid als Spectre mogelijk voor de ene site zijn om data van de andere site in dit geheugen te benaderen. Met Site Isolation wordt dit voorkomen.

Naast de bescherming die de maatregel biedt heeft het ook andere voordelen. Door meer websites in gescheiden processen te laden zal de ene website geen invloed hebben op de reactie van websites in andere processen. Door meer processen te gebruiken voor het laden van websites kan ook de belasting over meerdere cpu-cores worden verdeeld, waardoor de onderliggende hardware efficiënter wordt gebruikt. Updaten naar Firefox 94 kan via de automatische updatefunctie en Mozilla.org.

Reacties (7)
02-11-2021, 17:18 door nicolaasjan
Worden Spectre en Meltdown kwetsbaarheden eigenlijk veel misbruikt?
Ik lees er niets over.

Kan iemand een voorbeeld geven?
02-11-2021, 19:58 door Spiff has left the building
Betreffend Firefox Site Isolation (Fission),
https://bugzilla.mozilla.org/show_bug.cgi?id=1732358, "Enable Fission pref by default in Firefox 96", vermeldt:
"The Fission rollout will enroll Firefox 94 and 95 users. We will pref on Fission by default in Firefox 96."
Als ik dat goed begrijp, wordt Fission/ Site Isolation uitgerold voor een deel van de Firefox 94 en 95 gebruikers, het wordt pas ingeschakeld voor alle gebruikers in Firefox 96.
Het was nuttig geweest als die details waren vermeld in de Firefox 94 Release Notes.
(Bovenstaande zonet ook door me geplaatst op https://www.wilderssecurity.com/threads/new-firefox-browser-version-released.361562/page-153#post-3046947)
03-11-2021, 10:27 door [Account Verwijderd] - Bijgewerkt: 03-11-2021, 10:54
Door Spiff: Betreffend Firefox Site Isolation (Fission),
https://bugzilla.mozilla.org/show_bug.cgi?id=1732358, "Enable Fission pref by default in Firefox 96", vermeldt:
"The Fission rollout will enroll Firefox 94 and 95 users. We will pref on Fission by default in Firefox 96."
Als ik dat goed begrijp, wordt Fission/ Site Isolation uitgerold voor een deel van de Firefox 94 en 95 gebruikers, het wordt pas ingeschakeld voor alle gebruikers in Firefox 96.
Het was nuttig geweest als die details waren vermeld in de Firefox 94 Release Notes.
(Bovenstaande zonet ook door me geplaatst op https://www.wilderssecurity.com/threads/new-firefox-browser-version-released.361562/page-153#post-3046947)

Je hebt het goed!

Toen ik vanochtend Firefox 94 installeerde (update) en ik dit nieuwsbericht van Security.nl las, knarste er iets in mijn hoofd dat zei: "Neen dat komt toch pas later. Dat is niet bij alle Firefox 94 distributies maar bij een geselecteerd aantal FF-distributies."
Hier stond al het verlossende woord:
https://www.security.nl/posting/723165/Mozilla+schakelt+Site+Isolation+in+bij+klein+deel+van+Firefox-gebruikers

;-)

off topic:

Nu kijk ik eens wat uitvoeriger in de 'over Firefox' popup en ik lees daarin onder het versie nummer (94.0): Mozilla Firefox voor Linux Mint - mint 1.0
Wat wordt daarmee bedoeld? Is dat een aanduiding van een Firefox template voor Linux Mint o.i.d.?

Iemand?

end off topic
03-11-2021, 11:43 door nicolaasjan
Door Ard van Wiersum:

off topic:

Nu kijk ik eens wat uitvoeriger in de 'over Firefox' popup en ik lees daarin onder het versie nummer (94.0): Mozilla Firefox voor Linux Mint - mint 1.0
Wat wordt daarmee bedoeld? Is dat een aanduiding van een Firefox template voor Linux Mint o.i.d.?

Iemand?

end off topic

off topic:

Datzelfde staat er al voor zover ik mij kan herinneren.

Linux Mint past z'n Firefox versie iets aan.
O.a. eigen startpagina en Yahoo zoekmachine, alsook wat andere preferences in:
/usr/lib/firefox/defaults/pref
en:
/usr/lib/firefox/browser/defaults/preferences

end off topic
03-11-2021, 12:15 door [Account Verwijderd] - Bijgewerkt: 03-11-2021, 12:16
Door nicolaasjan:
Door Ard van Wiersum:

off topic:

Nu kijk ik eens wat uitvoeriger in de 'over Firefox' popup en ik lees daarin onder het versie nummer (94.0): Mozilla Firefox voor Linux Mint - mint 1.0
Wat wordt daarmee bedoeld? Is dat een aanduiding van een Firefox template voor Linux Mint o.i.d.?

Iemand?

end off topic

off topic:

Datzelfde staat er al voor zover ik mij kan herinneren.

Linux Mint past z'n Firefox versie iets aan.
O.a. eigen startpagina en Yahoo zoekmachine, alsook wat andere preferences in:
/usr/lib/firefox/defaults/pref
en:
/usr/lib/firefox/browser/defaults/preferences

end off topic

Inderdaad dat moet het zijn. Ik heb daar nooit bij stilgestaan. Beetje suf van mij terwijl dat voor de hand liggend is.
Ik heb al enkele jaren DuckDuck als startpagina en vanochtend zag ik na de update ineens Firefox openen met: https://www.linuxmint.com/start/tessa/

Oeps... daarmee verraad ik meteen mijn versie van Mint ;-)
03-11-2021, 14:20 door nicolaasjan
Door Ard van Wiersum:

Inderdaad dat moet het zijn. Ik heb daar nooit bij stilgestaan. Beetje suf van mij terwijl dat voor de hand liggend is.
Ik heb al enkele jaren DuckDuck als startpagina en vanochtend zag ik na de update ineens Firefox openen met: https://www.linuxmint.com/start/tessa/

Oeps... daarmee verraad ik meteen mijn versie van Mint ;-)
offtopic

Ik heb hem vervangen door deze ppa, omdat Mint - in ieder geval voorheen - achterliep met z'n updates:
https://launchpad.net/~ubuntu-mozilla-security/+archive/ubuntu/ppa

Krijg via de ppa de updates zelfs al een paar dagen voor de officiële release.

end offtopic
03-11-2021, 20:35 door [Account Verwijderd]
Door nicolaasjan:
Door Ard van Wiersum:

Inderdaad dat moet het zijn. Ik heb daar nooit bij stilgestaan. Beetje suf van mij terwijl dat voor de hand liggend is.
Ik heb al enkele jaren DuckDuck als startpagina en vanochtend zag ik na de update ineens Firefox openen met: https://www.linuxmint.com/start/tessa/

Oeps... daarmee verraad ik meteen mijn versie van Mint ;-)
offtopic

Ik heb hem vervangen door deze ppa, omdat Mint - in ieder geval voorheen - achterliep met z'n updates:
https://launchpad.net/~ubuntu-mozilla-security/+archive/ubuntu/ppa

Krijg via de ppa de updates zelfs al een paar dagen voor de officiële release.

end offtopic

off topic

Ja dat kan best zinnig zijn. Ik had bijvoorbeeld voor Chromium eind 2020 ook een extra PPA toegevoegd. Er schortte toen iets met het tijdige aanbod van updates. In de loop van 2021 is dat opgelost. Chromium is er tegenwoordig weer als de kippen bij met zijn updates ;-)
Vanochtend had ik dus de update voor Firefox en Chromium (95.0.4638.69) tezelfdertijd via mijn dagelijkse sudo apt update.

end off topic
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.