image

Avast en AVG beschouwen Firefox als ransomware en laten browser crashen

zondag 9 oktober 2022, 09:34 door Redactie, 24 reacties

Mozilla heeft een update voor Firefox uitgebracht nadat Avast en AVG de browser als ransomware beschouwden en lieten crashen. Duizenden Firefox-gebruikers dachten echter dat het probleem bij de browser lag, zo laat Mozillas Gabriele Svelto weten. Twee dagen geleden zag Mozilla opeens een piek in het aantal crashes bij gebruikers. Verder onderzoek wees uit dat de antivirussoftware dacht dat een onderdeel van Firefox ransomware was.

Mozilla kwam daarop met een oplossing en heeft die via Firefox 105.0.3 onder gebruikers uitgerold. De browserontwikkelaar heeft echter felle kritiek op Avast en AVG. "Avast denkt dat de Mercurial executable die we met Mozillas tooling voor Windows meeleveren ransomware is. In het geval je zou willen weten hoe slecht Avast is", stelt Svelto.

Hij krijgt bijval van Ben Hearsum, staff engineer bij Mozilla. "Avast is één van de antivirusleveranciers die ook graag met Firefox-updates speelt. Op een gegeven moment herschreven ze update requests op zo'n manier, dat gebruikers geen updates meer kregen." Ook Thunderbird waarschuwt gebruikers voor de invloed die antivirussoftware van Avast, AVG en McAfee op updates kan hebben.

Svelto adviseert Firefox-gebruikers om Avast te verwijderen en van Windows Defender gebruik te maken, dat standaard in Windows zit ingebouwd en volgens hem voldoende bescherming biedt en minder snel voor problemen zal zorgen. De nieuwste Firefox-update is beschikbaar via de automatische updatefunctie en Mozilla.org.

Image

Reacties (24)
09-10-2022, 09:57 door [Account Verwijderd]
Ah, vandaar dat ik - hoogst ongebruikelijk - vanochtend een update zag van v.105.0.2 naar v.105.9.3
09-10-2022, 10:01 door Anoniem
Firefox 105.0.3 is een update die een probleem oplost waardoor - oudere versies - van de anti-virus producten Avast en AVG Mozilla's browser steeds laten crashen. Na de update zou Firefox niet meer (zo vaak) moeten crashen. Update van Avast en AVG naar nieuwere versies kan de incompatibiliteit ook verhelpen.
https://www.gratissoftwaresite.nl/downloads/firefox-internet-web-browser
09-10-2022, 10:45 door Anoniem
Zo worden de anti Google bedrijven opgeruimd door dit soort acties. Dit soort bedrijven moeten aangepakt worden die de vrije marktwerking op internet kapot maken en voor de grote partijen werken.
09-10-2022, 11:25 door Anoniem
Dat risico loop je altijd als je een virusscanner gebruikt! Het kan zelfs voorkomen dat ie een kritiek deel van je OS als
malware beschouwt en heel je machine plat legt.
Iedereen moet zelf overwegen of hij dit risico de aire van "beveiliging" waard vindt.
09-10-2022, 12:51 door Anoniem
Sinds de overname door Norton (met 15% reductie aan medewerkers) zit avast al overal tussen met zijn "s-install.avcdn.net" met een No 'Access-Control-Allow-Origin'CORS policy. Het wordt gelijdelijk aan een (av-)tracking machine van jewelste.
Ook via Android Clean Masters av etc. actief op andere platforms.

Gebruikers met de Avast Secure Browser zien deze 'bladeraar'voor elke andere browser ook als eerste opengaan en is ook nog eens zeer geheugen-belastend bezig.

Goed bezig? Dat is de vraag dus,

#obserwator
09-10-2022, 13:44 door Anoniem
Avast heeft in 2016 AVG overgenomen. En in 2017 CCleaner.

Van wikipedia: "In July 2021, NortonLifeLock, an American cybersecurity company, announced that it is in talks to merge with Avast Software. In August 2021, Avast's board of directors agreed to an offer of US$8 billion. In September 2022, the Competition and Markets Authority approved the proposed takeover by NortonLifeLock so allowing the transaction to be completed.[31][32][33][34][35]"

Het is dus niet de schuld van Avast dat dit gebeurt, maar van NortonLifeLock (voorheen Symantec). Die is namelijk nu de eigenaar en het probleem speelt nu.
09-10-2022, 14:01 door Anoniem
waarom zou Avast update requests van o.a. firefox herschrijven waardoor firefox geen updates meer krijgt? Wat voor belang dient dit?
09-10-2022, 15:37 door Anoniem
Avast was goed,maar het word minder
en het voegt steeds meer apps toe aan het av product
dat steeds meer taken wil overnemen van windows of andere software,
maar ook vaker irritante popups,dat je moet upgraden voor betere veiligheid.

De vrije markt heeft veel schade aangebracht,maar ook
op het internet,overnames verlopen vaak minder goed dan gedacht.
Blijvend concurreren betekend vaak voor beide partijen verlies
en de dupe is de consument die weer de kwaliteit of service elders moet gaan zoeken,
de eeuwige cirkel van verlies of tijdelijke nieuwe services en ondernemers die het weer proberen
de vrije markt,het is een soort wegwerp product,tijdelijke winst voor de maatschappij en consument.

EUNLNU2022
09-10-2022, 19:22 door Anoniem
Door Anoniem: waarom zou Avast update requests van o.a. firefox herschrijven waardoor firefox geen updates meer krijgt? Wat voor belang dient dit?

Wel Duh, malware scanning/threat protection , "web shield" enzo , is natuurlijk het belang .

Je moet niet lezen "Avast rewrite firefox updates" , maar "Avast monitort programma's die allerlei dingen willen downloaden en installeren" => dus ook auto updates van bijvoorbeeld firefox .
Feitelijk dus een vals alarm van de scanner .

Dan kun je naief roepen "maar dan moeten ze het programma dat "firefox.exe" heet uitzonderen, want is vertrouwd.
En dan is de volgende opmerking , dat malware writers kiezen hoe hun programma heet -> firefox.exe .
En is de vraag weer, hoe AV scanners een "echte" firefox kunnen herkennen als ze die (bijvoorbeeld) standaard willen whitelisten.
En natuurlijjk is de lijst van programma's langer dan alleen firefox, want eigenlijk heeft/hoort elk programma een (auto) update functie, zeker als het een risico is wanneer er een bug in dat programma gevonden wordt .
09-10-2022, 22:50 door Anoniem
Natuurlijk is dan ook bekend, dat je veel minder kans loopt op zo'n FP als je netjes je code, tool, programma "ondertekent".

En een heleboel developers laten dat nog wel eens na. Uiteindelijk komt dan de FP eruit als werkelijke valse positief, maar ondertussen. Resource signing zou dus overal aanbeveling verdienen, ook identity hashen op script.

#obserwator
09-10-2022, 23:32 door Anoniem
Door Anoniem: Firefox 105.0.3 is een update die een probleem oplost waardoor - oudere versies - van de anti-virus producten Avast en AVG Mozilla's browser steeds laten crashen. Na de update zou Firefox niet meer (zo vaak) moeten crashen. Update van Avast en AVG naar nieuwere versies kan de incompatibiliteit ook verhelpen.
https://www.gratissoftwaresite.nl/downloads/firefox-internet-web-browser
Het is altijd het beste om software te downloaden vanaf de site van de makers zelf, en niet van andere "gratis software" sites. Want bij dat soort sites weet je niet zeker of het de authentieke, ongewijzigde versie is.
https://www.mozilla.org/nl/firefox/new/
10-10-2022, 05:16 door Anoniem
Door Anoniem:
Door Anoniem: waarom zou Avast update requests van o.a. firefox herschrijven waardoor firefox geen updates meer krijgt? Wat voor belang dient dit?

Wel Duh, malware scanning/threat protection , "web shield" enzo , is natuurlijk het belang .

Je moet niet lezen "Avast rewrite firefox updates" , maar "Avast monitort programma's die allerlei dingen willen downloaden en installeren" => dus ook auto updates van bijvoorbeeld firefox .
Feitelijk dus een vals alarm van de scanner .
Dat is het niet eens, het is veel knulliger. Het herschrijven van requests gaat niet over de huidige crashes. Als je de link naar Ben Hearsum volgt in het artikel zie je dat die weer naar een bugreport doorverwijst van 8 jaar geleden:
https://bugzilla.mozilla.org/show_bug.cgi?id=1141513
Daar wordt gemeld dat een backend-component van Mozilla URLs die door Avast waren aangepast niet aankon, het ging dus niet mis in Firefox maar op een server van Mozilla. Uit de gegeven voorbeelden blijkt dat ze requests als deze binnenkregen:

http://balrog.mozilla.dev:9000/update/3/Firefox/33.0a1/20120222174716/WINNT_x86-msvc/en-US/nightly/default/default/default/update.xml?force=1%3Favast=1

Het door Avast toegevoegde deel heb ik vet gemaakt. "%3F" is de URL-codering voor een vraagteken. Dus eigenlijk staat achter "update.xml" "?force=1?avast=1". Twee keer een vraagteken. Een vraagteken in een URL geeft aan waar het query-deel begint, met parameters waar de server iets mee doet. Avast heeft dus een eigen query-parameter toegevoegd, en het lijkt erop dat dat gedaan is door "?avast=1" achter de URL te plakken zonder te kijken of er al een vraagteken in staat. Dan had namelijk "&avast=1" moeten worden toegevoegd. Dat dat vraagteken door "%3F" is vervangen zal komen omdat de resulterende URL vervolgens door code is gehaald die zorgt dat URLs netjes gecodeerd zijn. Die code zal alleen het eerste vraagteken als het begin van de query-parameters hebben gezien en het tweede vraagteken als onderdeel van een query-parameter, en dan is de vervanging terecht.

Het resultaat was dat de door Mozilla zelf gebruikte query-parameter "force" niet meer de waarde "1" had maar de waarde "1?avast=1". Een kale "1" is een geldig getal, met de toevoeging is het dat niet, en daar liep de code op een server van Mozilla op stuk, met als gevolg dat de download van de upgrade ook niet meer door ging voor Avast-gebruikers. Merk op dat dit niet een crash van het hele serverproces zal zijn geweest maar alleen van zo'n request-afhandeling.

Maar waarom zit zoiets er überhaupt in? Aan wie of wat wil Avast meedelen dat Avast de URL-controle heeft uitgevoerd? Het is onzinnig om dat aan elke server op de hele wereld mee te delen, en ook ongewenst, want er zijn ongetwijfeld servers die onverwachte URL-parameters afhandelen als een signaal dat er geknoeid is met de request — dit kan al problemen geven als de toevoeging op de juiste manier wordt gecodeerd. Ik had de gedachte dat het misschien bedoeld is als signaal aan een netwerkcomponent die URLs controleert dat de controle al op het werkstation is uitgevoerd, maar dat zou ook al een bijzonder knullige opzet zijn, want dan kan malware simpelweg "avast=1" toevoegen om controles te omzeilen. Dat lijkt niet erg aannemelijk.

Het lijkt me veel waarschijnlijker dat dit code is die een ontwikkelaar heeft toegevoegd om mee te testen, met een testserver waarop dan gezien kan worden dat de URL op de client door de controle is gehaald. Als die testserver zelf verder geen URL-parameters gebruikte verklaart dat waarom "?avast=1" in die context probleemloos achter de URL kon worden geplakt. De fout die dan gemaakt is is dat deze testcode is uitgerold naar alle Avast-gebruikers. Zoiets mag natuurlijk nooit gebeuren.

Het antwoord op de vraag welk belang dit dient is dus mogelijk het belang van een ontwikkelaar die iets toe heeft gevoegd om een bepaalde test te kunnen doen — en vervolgens verzuimd heeft om dat weer te verwijderen of om het zo te coderen dat het nooit in release-versies actief kan zijn (veel compilers ondersteunen conditionele compilatie: debug-builds kunnen toevoegingen bevatten die in release-builds ontbreken).
10-10-2022, 09:20 door Anoniem
Door Anoniem:
Door Anoniem: waarom zou Avast update requests van o.a. firefox herschrijven waardoor firefox geen updates meer krijgt? Wat voor belang dient dit?

Wel Duh, malware scanning/threat protection , "web shield" enzo , is natuurlijk het belang .

Je moet niet lezen "Avast rewrite firefox updates" , maar "Avast monitort programma's die allerlei dingen willen downloaden en installeren" => dus ook auto updates van bijvoorbeeld firefox .
Feitelijk dus een vals alarm van de scanner .

Dan kun je naief roepen "maar dan moeten ze het programma dat "firefox.exe" heet uitzonderen, want is vertrouwd.
En dan is de volgende opmerking , dat malware writers kiezen hoe hun programma heet -> firefox.exe .
En is de vraag weer, hoe AV scanners een "echte" firefox kunnen herkennen als ze die (bijvoorbeeld) standaard willen whitelisten.
En natuurlijjk is de lijst van programma's langer dan alleen firefox, want eigenlijk heeft/hoort elk programma een (auto) update functie, zeker als het een risico is wanneer er een bug in dat programma gevonden wordt .

Dit is wel een erg versimpelde manier hoe malware en anti malware werkt.
Die kijken niet naar een naam of extensie alleen..
10-10-2022, 09:44 door walmare
Het zegt veel over het waardeloze ontwerp van het OS als er antivirussoftware. nodif is. Er zijn besturingssytemen waar je helemaal geen antivirus op installeert en waar deze software, die alle rechten nodig heeft, wordt beschouwd als een security probleem. Trap er niet in, een fatsoenlijk OS heeft deze antivirusbedrijven niet nodig.
10-10-2022, 10:03 door Anoniem
Door Anoniem: Zo worden de anti Google bedrijven opgeruimd door dit soort acties. Dit soort bedrijven moeten aangepakt worden die de vrije marktwerking op internet kapot maken en voor de grote partijen werken.

Wat een kolder. Dit soort fouten zijn een onoverkomelijk zij-effect van de continue wapenwedloop tussen hackers en verdedigers. Komt gewoon een update van de AV-vendors en alles is weer ok.
10-10-2022, 10:06 door Anoniem
Door walmare: Het zegt veel over het waardeloze ontwerp van het OS als er antivirussoftware. nodif is. Er zijn besturingssytemen waar je helemaal geen antivirus op installeert en waar deze software, die alle rechten nodig heeft, wordt beschouwd als een security probleem. Trap er niet in, een fatsoenlijk OS heeft deze antivirusbedrijven niet nodig.

Zucht. Ik dacht dat we dat stadium toch al voorbij waren. Heel, heel lang geleden wilde Apple nog graag roepen dat er op hun platform geen antivirus software nodig was. Toen hun installed base groot en interessant genoeg was voor criminelen zijn ze daar snel mee opgehouden.
En daarbij: kwaadaardige software heeft helemaal niet "alle rechten" nodig - veel ervan draait gewoon met de rechten van de huidige gebruiker.
10-10-2022, 12:16 door Anoniem
Heel veel antimalware software gebruikt een gedwongen proxyserver om alles te kunnen scannen, voordat het encrypted wordt. Dat dit onwenselijk is omdat je dan moet vertrouwen dat die virusscanner ok is en dan niet iemand daar weer op meelift/meekijkt (van antivirus medewerker tot aangehaakte malware) was al bekend, nu de hoeveelheid false positives groeit en de gevolgen steeds groter zijn en de risico's steeds groter worden is het misschien af te vragen of antimalware wel erger is dan de kwaal.
Zeg nu eerlijk, wanneer heeft je antivirus voor het laatst iets geroepen dat daadwerkelijk een echte true positive was?
Ik heb de afgelopen 22 jaar en 10 maanden GEEN EEN true positive gehad. Wel 2x een false positive van McAfee en 2x van NortonAV.
10-10-2022, 12:21 door Anoniem
Door Anoniem:
Door Anoniem: waarom zou Avast update requests van o.a. firefox herschrijven waardoor firefox geen updates meer krijgt? Wat voor belang dient dit?

Wel Duh, malware scanning/threat protection , "web shield" enzo , is natuurlijk het belang .

Je moet niet lezen "Avast rewrite firefox updates" , maar "Avast monitort programma's die allerlei dingen willen downloaden en installeren" => dus ook auto updates van bijvoorbeeld firefox .
Feitelijk dus een vals alarm van de scanner .

Dan kun je naief roepen "maar dan moeten ze het programma dat "firefox.exe" heet uitzonderen, want is vertrouwd.
En dan is de volgende opmerking , dat malware writers kiezen hoe hun programma heet -> firefox.exe .
En is de vraag weer, hoe AV scanners een "echte" firefox kunnen herkennen als ze die (bijvoorbeeld) standaard willen whitelisten.
En natuurlijjk is de lijst van programma's langer dan alleen firefox, want eigenlijk heeft/hoort elk programma een (auto) update functie, zeker als het een risico is wanneer er een bug in dat programma gevonden wordt .
Programma's horen uit een vertrouwde gesigneerde repository (zie Linux) te worden gepatcht dan heb je dit gezeik niet.
10-10-2022, 12:35 door Anoniem
Door Anoniem:
Door walmare: Het zegt veel over het waardeloze ontwerp van het OS als er antivirussoftware. nodif is. Er zijn besturingssytemen waar je helemaal geen antivirus op installeert en waar deze software, die alle rechten nodig heeft, wordt beschouwd als een security probleem. Trap er niet in, een fatsoenlijk OS heeft deze antivirusbedrijven niet nodig.

Zucht. Ik dacht dat we dat stadium toch al voorbij waren. Heel, heel lang geleden wilde Apple nog graag roepen dat er op hun platform geen antivirus software nodig was. Toen hun installed base groot en interessant genoeg was voor criminelen zijn ze daar snel mee opgehouden.
En daarbij: kwaadaardige software heeft helemaal niet "alle rechten" nodig - veel ervan draait gewoon met de rechten van de huidige gebruiker.
IBM en Google installeren geen antivirus software op hun Linux desktops. Zoals walmare al zei. Gesloten antivirus software (voor het gemak supply chain) met alle rechten is een enorm security probleem (microsoft is zelf gehackt door solarwinds 3party software). Wij hebben 3 jaar lang een test gedaan en niet 1 virus of andere malware gevonden. Het is heel gevaarlijk om Linux hetzelfde te behandelen als windows.
10-10-2022, 12:39 door Anoniem
Door Anoniem:
Door walmare: Het zegt veel over het waardeloze ontwerp van het OS als er antivirussoftware. nodif is. Er zijn besturingssytemen waar je helemaal geen antivirus op installeert en waar deze software, die alle rechten nodig heeft, wordt beschouwd als een security probleem. Trap er niet in, een fatsoenlijk OS heeft deze antivirusbedrijven niet nodig.

Zucht. Ik dacht dat we dat stadium toch al voorbij waren. Heel, heel lang geleden wilde Apple nog graag roepen dat er op hun platform geen antivirus software nodig was. Toen hun installed base groot en interessant genoeg was voor criminelen zijn ze daar snel mee opgehouden.
En daarbij: kwaadaardige software heeft helemaal niet "alle rechten" nodig - veel ervan draait gewoon met de rechten van de huidige gebruiker.
Jawel want anders kunnen ze windows niet versleutelen toch?
10-10-2022, 12:57 door Joep Lunaar
Door Anoniem:
Door Anoniem:
Door Anoniem: waarom zou Avast update requests van o.a. firefox herschrijven waardoor firefox geen updates meer krijgt? Wat voor belang dient dit?
...
Het lijkt me veel waarschijnlijker dat dit code is die een ontwikkelaar heeft toegevoegd om mee te testen, met een testserver waarop dan gezien kan worden dat de URL op de client door de controle is gehaald. Als die testserver zelf verder geen URL-parameters gebruikte verklaart dat waarom "?avast=1" in die context probleemloos achter de URL kon worden geplakt. De fout die dan gemaakt is is dat deze testcode is uitgerold naar alle Avast-gebruikers. Zoiets mag natuurlijk nooit gebeuren.

Het antwoord op de vraag welk belang dit dient is dus mogelijk het belang van een ontwikkelaar die iets toe heeft gevoegd om een bepaalde test te kunnen doen — en vervolgens verzuimd heeft om dat weer te verwijderen of om het zo te coderen dat het nooit in release-versies actief kan zijn (veel compilers ondersteunen conditionele compilatie: debug-builds kunnen toevoegingen bevatten die in release-builds ontbreken).

Goede inschatting lijkt mij.
En los van de onvolwassenheid van het voortbrengingsproces speelt hier waarschijnlijk ook iets waaraan veel closed source programmatuur aan lijdt: onevenwichtige afweging van de belangen van de ontwikkelaar en die van de gebruikers, die zijn vaak niet gelijklopend. Voor programmatuur die quasi gratis wordt meegeleverd - uw nieuwe MS Windows systeem is een reclamezuil waarvan de producent inkomsten verkrijgt van de Symantec enz - gaat dit helemaal op: veel aandacht op verkoop, weinig aandacht voor een proper product.
10-10-2022, 12:59 door Joep Lunaar
Door Anoniem:
Door Anoniem: Zo worden de anti Google bedrijven opgeruimd door dit soort acties. Dit soort bedrijven moeten aangepakt worden die de vrije marktwerking op internet kapot maken en voor de grote partijen werken.

Wat een kolder. Dit soort fouten zijn een onoverkomelijk zij-effect van de continue wapenwedloop tussen hackers en verdedigers. Komt gewoon een update van de AV-vendors en alles is weer ok.
Slaap lekker.
10-10-2022, 13:11 door Joep Lunaar - Bijgewerkt: 10-10-2022, 13:11
Door Anoniem:
Door walmare: Het zegt veel over het waardeloze ontwerp van het OS als er antivirussoftware. nodif is. Er zijn besturingssytemen waar je helemaal geen antivirus op installeert en waar deze software, die alle rechten nodig heeft, wordt beschouwd als een security probleem. Trap er niet in, een fatsoenlijk OS heeft deze antivirusbedrijven niet nodig.

Zucht. Ik dacht dat we dat stadium toch al voorbij waren. Heel, heel lang geleden wilde Apple nog graag roepen dat er op hun platform geen antivirus software nodig was. Toen hun installed base groot en interessant genoeg was voor criminelen zijn ze daar snel mee opgehouden.
En daarbij: kwaadaardige software heeft helemaal niet "alle rechten" nodig - veel ervan draait gewoon met de rechten van de huidige gebruiker.

Zowel MS Windows, macOS, Linux en ook IOS en Android, en webbrowsers zelf ook, bevatten componenten die zien op de bescherming van de integriteit van het systeem, ingebakken als het ware. De manieren verschillen, logisch want elk heeft zijn eigen kwetsbaarheden (en sterktes, behalve MS Windows ;- ). Hoe dan ook, Norton, Avast enz voegen heel weinig toe aan de veiligheid en vormen daarentegen veelal eerder juist een extra bron van problemen zo niet zelfs een extra aanvalsvlak op code die bovendien bijzonder invasief en geprivilegieerd is. Bedrijven als Norton hebben vooral de inning van pecunia op orde.
10-10-2022, 13:39 door Anoniem
Waar zijn toch ook al die Qualified Malware Removers gebleven, zoals er nog wel zijn bij MBAM en GeekstoGo.
De zogeweten Hogwart-opruimers met hun speciale tooltjes en individuele cleansing routines.

Vroeger hadden we het ASO initiatief (Anti Spyware Initiatief), maar er schijnt nu alleen maar spyware en bloatware over.
Men tekent ook overal voor eer men aan het werk kan, dus "mum is the word".

Het enige wat developers nog wel eens te ontlokken valt, is een cynische opmerking hier en daar.

Echt op de materie ingaan en vertellen van de hoed en de rand, waarom we de situatie hebben,
die we hebben, wil steeds minder lukken.

Of ze moeten al niet meer actief deel hebben aan het werkproces en de opdrachten ter vermeerdering van de grote investeringswinsten. Hierboven valt uit wat meegedeeld wordt wel een beeld van de manier van werken te krijgen.
En dat is vaak niet al te opbeurend.

Doel: tracken en dataslurpen en giga-winsten binnenharken.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.