Nederlanders krijgen onveilige Firefox voorgeschoteld

Mozilla heeft de nieuwe, veiligere Firefox 16 van zijn downloadsite afgehaald vanwege een veiligheidsissue, maar in Nederland kunnen gebruikers de 'onveilige' versie binnenhalen.

Volgens de maker is het verwijderen van Firefox 16 tijdelijk, zodat een veiligheidslek gerepareerd kan worden. Vandaag moet de versie weer beschikbaar zijn. In de tussentijd krijgen gebruikers via de downloadsite van Mozilla versie 15.0.1 voorgeschoteld. Via de Nederlandse downloadportal wordt echter gewoon versie 16 verspreid.

Gat in Firefox 16
In versie 16 zit een gat waardoor een malafide site toegang kan krijgen tot welke sites de websitebezoeker heeft bezocht. Daarnaast kan de url worden aangepast. Volgens Mozilla wordt het lek niet actief misbruikt, maar uit voorzorg wordt Firefox nu gepatcht en zal de lekdichte Firefox 16 later vandaag verschijnen.

Nederlanders die vandaag Firefox downloaden, ontvangen versie 16. Als je in de Nederlandse Firefox een update uitvoert, wordt de browser wel bijgewerkt naar versie 15.0.1. Firefox 16 kwam deze week uit en dichtte een flink aantal kwetsbaarheden ten opzichte van 15.0.1. Daar zaten 11 kritieke lekken tussen waarmee aanvallers code kunnen installeren.

Ongepatchte Firefox veiliger
Ondanks dat is nu toch versie 15.0.1 volgens Mozilla veiliger dan de update. Het cybersecurityorgaan van de Nederlandse overheid, het NCSC, adviseerde eerder deze week om over te stappen op de nieuwe versie om uitbuiting van kwetsbaarheden te voorkomen.

#############################

Mozilla trekt Firefox 16 terug

Er lijkt een lek te zitten in de meest recente versie van Firefox. Versie 16 werd de afgelopen dagen uitgerold, maar inmiddels heeft Mozilla deze versie weer van haar officiŽle downloadsites afgehaald.

Mozilla bevestigt op het eigen blog dat er inderdaad een zwakke plek in versie 16 zit. Via de kwetsbaarheid zou een kwaadaardige site in potentie kunnen bepalen welke websites iemand bezocht heeft en toegang krijgen tot de url en de parameters daarvan. Hoewel Mozilla zegt geen aanwijzingen te hebben dat het lek daadwerkelijk misbruikt wordt, is versie 16 momenteel niet beschikbaar.

Patch en nieuwe versie van Firefox 16

Later vandaag komt er een herstelde versie 16 uit; wie de afgelopen dagen 16 al gedownload en geÔnstalleerd heeft, kan kiezen: of wachten tot de patch (die ook voor later vandaag op de rol staat en zichzelf automatisch zal installeren) of tijdelijk teruggaan naar versie 15.1. Hoe dat moet, kan je lezen op www.mozilla.org/firefox/new/.