[img=right]http://www.macfreak.org/base/data/news/images/Firefox_icoon.jpg[/img]De onderzoekers van Secunia hebben een ernstig lek ontdekt in Firefox 3.5 en hebben het de rating 'highly critical' meegegeven. De exploit is al in het wild gesignaleerd en kan zich voo doen bij het bezoeken van websites met een 'foute' Javascript code.

Er is een simpele remedie:
Open firefox
in de URL box type: about:config
(beloof dat je voorzichtig zult zijn)
in de Filterbox type: jit
dubbelklik de regel: javascript.options.jit.content
waardoor de waarde van true verandert in false.

Javascript wordt hier langzamer van (ongeveer de oude 3.0 snelheid), maar de expploit heeft nu geen kans meer om kwaad te doen.

bron: Washington Post

Update:

Inmiddels heeft FireFox versie 3.5.1 uitgebracht waarin dit lek verholpen is.

Na installatie van deze update kun je dus veilig de javascript.options.jit.content weer up true zetten.

En zo kunnen we niet meer veilig surfen, beide grote browsers zij nu kwetbaar voor zogenaamde drive-by exploits.

FF voor deze javascript exploit en IE  voor de video activex exploit.

Gaat lekker zo...

(aub, geen ( in mijn ogen, nutteloze) discussie over welke browser beter is of welke meer lekken dan de ander heeft, bovenstaande is een feit dat vandaag geldt! )

Calvin om 23:26, 15-07-2009
En zo kunnen we niet meer veilig surfen, beide grote browsers zij nu kwetbaar voor zogenaamde drive-by exploits.

Dat valt toch wel mee, de oplossing is nu niet echt moeilijk te noemen en ik voorzie een snelle update waar dit de standaardinstelling is of waarin het probleem verholpen is...

Gelukkig hebben wij Macgebruikers geen last van die IE exploit, weet je nog

Nee, niet van de IE exploit ( die overigens al gefixed is) maar wel van de FF exploit en ik vermoed dat 90% van de gewone gebruikers hier niet komen en al helemaal niet in config gaan zitten hacken!

Lekker je kop in het zand steken en negeren dat het gros van de goegemeente niet zo technisch is.

( en met WE bedoelde ik men, en niet specifiek de mensen op dit forum)

ik zoeken... blijk ik FF 3.0 nogwat te hebben
Dit geldt zeker weer alleen voor Leopard gebruikers.

Beste moderators,
nogmaals,
mogen dit soort systeemeisen standaard opgenomen worden in elk nieuwsbericht
dat betrekking heeft op een specifiek systeem?
Ik neem aan dat niet iedereen al Leopard gebruikt
bedankt.

@ Viool
Firefox is niet systeem afhankelijk. Versie 3.5 kun je
draaien met Mac OSX 10.4 of hoger. Dus dit bericht
geldt ook voor Tiger gebruikers met FF 3.5.
Als je met Tiger werkt en geen melding over een
update hebt gekregen, kijk dan bij de voorkeuren
van Firefox of het automatisch controleren op
updates aanstaat. (Als je dat wil natuurlijk )

Kees

Ach het wachten is op een Safari lek: waar gehakt wordt vallen spaanders laten we maar zeggen... (ik bedoel: ik kan maar al te goed herinneren dat Safari shell scripts kon uitvoeren: dat vond ik wel HEEL erg kwalijk.... (Dat je zelf wat download als je een beetje stom wat zit te klikken vind ik 1, maar dat je als administrator of als sudo-er zonder ingeven van wachtwoord shell scripts kon uitvoeren vond ik behoorlijk ernstig...)

Gelukkig heeft Apple dat lek later gedicht (denk dat Mozilla dat ook wel binnekort zal doen...)

Als we toch met de About:config bezig zijn   :

>About:config
-->search: pipelining
>network.http.pipelining TRUE
>network.http.pipelining.maxrequests 100000
>network.http.pipelining.ssl TRUE
>network.http.proxy.pipelining TRUE

Hiermee zou firefox sneller moeten laden bij foto's en afbeeldingen.

Weet niet of het al gemeld was op MF , maar OS 9 gebruikers kunnen ook weer 'meedoen' met een modernere versie van Firefox:

http://www.floodgap.com/software/classilla/

Ik kon die regel niet vinden in config.
Toch een Windows-onlyprobleempje?

Of toch alleen in Leopard?
Ach ja, verkeerde versie...



(Bewerkt door Panico om 18:42, 16-07-2009)

Ik heb 'm gefixt, op Windows en op de Mac!

Calvin om 9:41, 16-07-2009
Lekker je kop in het zand steken en negeren dat het gros van de goegemeente niet zo technisch is.

Of je kan ook als 'mens die het niet allemaal erg goed snapt' eens niet zonodig het internet op.
Het is niet alleen maar een gezellige boel.
Ik hou mijn hart vast als mijn schoonvader het net opgaat.
En weer op van alles klikt.
Wanneer wordt de grote menigte/grijze massa eens uitgelegd dat er best wel gevaren aan deze verslaving kleven?
En niet op zo'n gezellige Postbus 51-manier.

Overigens:
Buiten schijnt de zon  

Viool om 10:54, 16-07-2009
mogen dit soort systeemeisen standaard opgenomen worden in elk nieuwsbericht
dat betrekking heeft op een specifiek systeem?.

Dat doen we ook wanneer het nieuwe of vernieuwde producten zijn. Hier betreft het een bericht over een probleem in een specifieke release van FireFox 3.5 en daarin is het overbodig om systeemeisen te melden: je hebt deze release of je hebt hem niet.

Overigens werkt FireFox 3.5 ook onder 10.4

Is het nuttig om deze setting weer terug te draaien na ingebruiknemen van de nieuwe Firefox versie (3.5.1)?

Yep, je kunt hem nu veilig weer op true zetten en dan zal de Javascript snelheid weer terug op het oude 3.5.0 niveau zijn.

KvB om 11:10, 16-07-2009
@ Viool
Firefox is niet systeem afhankelijk. Versie 3.5 kun je
draaien met Mac OSX 10.4 of hoger. Dus dit bericht
geldt ook voor Tiger gebruikers met FF 3.5.

Kees

Dank, (ook Karel). Het komt helaas nog vaak voor dat je weer een leuk progje denkt te hebben wat niet werkt onder je eigen systeem, vandaar mijn wrevel. Het lag dit keer echter geheel aan mijn 'update-falen'