Mozilla lanceert Firefox 148 met 'AI-killswitch' en extra XSS-bescherming
Mozilla heeft vandaag Firefox 148 gelanceerd die is voorzien van een 'AI-killswitch' en extra bescherming tegen cross-site scripting (XSS) aanvallen en meer dan vijftig kwetsbaarheden in de browser verhelpt. Via 'AI Controls' kunnen gebruikers alle AI-features binnen de browser uit- of inschakelen. De Firefox-ontwikkelaars noemden de optie intern een 'AI-killswitch'. Via AI Controls zijn verschillende opties te regelen, waaronder het vertalen van websites, link previews die informatie over de gelinkte pagina geven en de aanwezigheid van chatbots binnen de browser.
Een andere belangrijke toevoeging aan Firefox 148 is een betere bescherming tegen XSS-aanvallen. "Een XSS-kwetsbaarheid doet zich voor wanneer een website onbedoeld aanvallers willekeurige HTML of JavaScript laat injecteren via door gebruikers gegenereerde content", legt Mozilla uit. "Met deze aanval kan een aanvaller interacties van gebruikers monitoren en manipuleren en continu gebruikersdata blijven stelen zolang de kwetsbaarheid is te misbruiken." Vaak weten aanvallers via XSS cookies te stelen om zo toegang tot accounts te krijgen.
Firefox 148 is voorzien van de Sanitizer API waarmee webontwikkelaars niet vertrouwde HTML kunnen 'sanitizen' voordat die in het Document Object Model (DOM) terechtkomt. De API moet onbetrouwbare HTML omzetten naar veilige HTML, wat het doet door bepaalde elementen en attributen uit de HTML van gebruikers weg te halen. Firefox is volgens Mozilla de eerste browser die met de Sanitizer API is uitgerust. Het is wel aan webontwikkelaars om hier nu gebruik van te maken.
Daarnaast heeft Mozilla 51 kwetsbaarheden in Firefox verholpen, wat voor de browser een groot aantal is. Het gaat om meerdere 'memory safety bugs' en Mozilla denkt dat deze problemen met genoeg moeite te misbruiken zijn voor het uitvoeren van willekeurige code op de systemen van Firefox-gebruikers, waarbij alleen het bezoeken van een malafide of gehackte website of het te zien krijgen van een besmette advertentie voldoende is. Updaten naar Firefox 148 kan via de automatische updatefunctie en Firefox.com.
Dat heet een driveby download infectie, het grote windows syndroom waar zo veel ransomware incidenten mee beginnen maar al >30j niet aangetoond op een Linux desktop.
Zie SELinux (en ook MAC policies via flatpak) waar Firefox in een container/sandbox draait, geïsoleerd van de rest van het systeem.
---
#!/usr/bin/env bash
FILES=$(find $HOME/.mozilla -name prefs.js)
for FILE in ${FILES}
do
sed -i.bk '/\.ml\./s/true/false/;/\.group\.smart\./s/true/false/' ${FILE}
done
---
__SL__
---
#!/usr/bin/env bash
FILES=$(find $HOME/.mozilla -name prefs.js)
for FILE in ${FILES}
do
sed -i.bk '/\.ml\./s/true/false/;/\.group\.smart\./s/true/false/' ${FILE}
done
---
__SL__
https://support.mozilla.org/en-US/kb/customizing-firefox-using-policiesjson
---
#!/usr/bin/env bash
FILES=$(find $HOME/.mozilla -name prefs.js)
for FILE in ${FILES}
do
sed -i.bk '/\.ml\./s/true/false/;/\.group\.smart\./s/true/false/' ${FILE}
done
---
__SL__
https://support.mozilla.org/en-US/kb/customizing-firefox-using-policiesjson
__SL__
---
#!/usr/bin/env bash
FILES=$(find $HOME/.mozilla -name prefs.js)
for FILE in ${FILES}
do
sed -i.bk '/\.ml\./s/true/false/;/\.group\.smart\./s/true/false/' ${FILE}
done
---
__SL__
https://support.mozilla.org/en-US/kb/customizing-firefox-using-policiesjson
__SL__
Ik vind het leuker om het via https://docs.ansible.com/ te doen. Voorbeeldje https://github.com/arensb/ansible-firefox-profiles
Ansible modules hoeft je niet alleen in python te schrijven maar kan je ook met bash maken :)
De FFox 148 releasenotes https://www.firefox.com/en-US/firefox/148.0/releasenotes/
vermeldt ook: "Remote improvements are now decoupled from telemetry requirements in Firefox Settings."
en linkt naar https://support.mozilla.org/kb/remote-improvements
Alwaar wordt vermeld: "Remote improvements range from fixes to feature changes to Firefox. They are delivered remotely between versions and updates to make your browsing experience stabler and richer, and they are completely optional based on your preferences. If you opt into remote improvements, you can have Firefox automatically install these changes for you".
Dit betreft de nieuwe Settings > Privacy & Security > Firefox Data Collection and Use > Allow Firefox to improve features, performance, and stability between updates instelling.
Na aan en uitzetten en een diff op de resulterende ~/.mozilla//firefox/*.default-release/prefs.js files blijkt dit de "about:config" / prefs.js optie "nimbus.rollouts.enabled" te betreffen die default op "false" staat.
nimbus.rollouts betreffen volgens de FFox documentatie voornamelijk developer tests op of met configuratie instellingen die in een uitgerijpter stadium verkeren. Er is GEEN indicatie dat het security fixes in de programma-code zou kunnen betreffen die aldus sneller zouden kunnen worden uitgerold. Zie: https://experimenter.info/advanced/rollouts/#when-to-use-a-rollout
De aanlokkelijk klinkende formulering van de nieuw geboden configuratie instelmogelijkheid "Allow Firefox to improve features, performance, and stability between updates instelling." geeft de indruk dat het activeren wenselijk is. Het is echter geen instelling om sneller security fixes binnen te krijgen dan de maandelijkse version releases. Het is een developer experiments channel (Mozilla Nimbus) voor uitgerijptere experimenten...
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.
Functionaris Gegevensbescherming
Ben jij die onafhankelijke expert die privacy naar een hoger plan tilt? Als Functionaris Gegevensbescherming (FG) krijg je bij ons een unieke uitdaging: jij bent hét toezichthoudend én adviserend geweten op privacygebied voor maar liefst vier gemeenten: Venray, Peel en Maas, Horst aan de Maas en Beesel.
Digital Designer
Ben jij een Grafisch vormgever, UI/UX-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, en op zoek naar een unieke en uitdagende baan waar je al je creativiteit in kwijt kan? Dan ben je bij Certified Secure aan het juiste adres! Je werkt samen met onze security developers aan onze Gamified Cybersecurity Challenges.