Firefox-extensies uitgeschakeld vanwege verlopen certificaat

[Captain Kirk]

Een verlopen certificaat van Mozilla zorgt ervoor dat extensies van Firefox-gebruikers worden uitgeschakeld en het niet mogelijk is om nieuwe extensies te installeren. Het gaat om een certificaat dat wordt gebruikt voor het signeren van extensies, zo blijkt uit een melding op Bugzilla.

Dit is het systeem dat Mozilla gebruikt voor het bijhouden van bugs en kwetsbaarheden. Doordat het certificaat is verlopen is de digitale handtekening niet meer geldig en besluit Firefox de extensie uit te schakelen. Ook staat de browser installatie van nieuwe extensies vanwege dezelfde reden niet meer toe.

Aangezien miljoenen Firefoxgebruikers extensies hebben geïnstalleerd zorgt dit voor tal van reacties op Hacker News en Reddit. Op de eigen website laat Mozilla weten dat er op dit moment een oplossing voor het probleem wordt getest. In de tussentijd is het signeren van nieuwe extensies uitgeschakeld.

 

 

bron: security.nl

[Captain Kirk]

Mozilla werkt nog altijd aan een update om het probleem te verhelpen waardoor alle extensies bij Firefoxgebruikers zijn uitgeschakeld. Ook gebruikers van Tor Browser zijn door het probleem getroffen. Voor gebruikers die niet op de update willen wachten zijn er tussentijdse oplossingen.

Een certificaat dat Mozilla gebruikt voor het signeren van Firefox-extensies is gisteren verlopen. Daardoor is de digitale handtekening van extensies niet meer geldig en besluit Firefox alle extensies uit te schakelen. Ook staat de browser installatie van nieuwe extensies vanwege dezelfde reden niet meer toe. Hierdoor zijn bij honderden miljoenen Firefoxgebruikers de extensies uitgeschakeld. "Dit heeft ons hard geraakt", zo laten de ontwikkelaars van de populair adblocker Adblock Plus weten.

Ook zo'n 2 miljoen gebruikers van Tor Browser zijn hierdoor getroffen. Om extra bescherming te bieden wordt Tor Browser, dat op Firefox is gebaseerd, standaard geleverd met de extensie NoScript, die het laden van scripts en andere zaken uitschakelt. Doordat de extensie ook in Tor Browser is uitgeschakeld kan de browser geen hogere beveiligingsniveaus aan gebruikers aanbieden.

Mozilla is bezig met een oplossing. Het is echter nog onbekend wanneer die zal verschijnen. In de tussentijd kunnen gebruikers ervoor kiezen om een noodupdate te laten installeren. Dit kan door 'studies' in te schakelen (Firefox Options/Preferences -> Privacy & Security -> Allow Firefox to install and run studies). Nadat de extensies weer werken kan deze optie worden uitgeschakeld.

Voor gebruikers van Tor Browser is het Tor Project ook met een tussentijdse oplossing gekomen. Hierbij kunnen gebruikers kiezen om de controle op digitale handtekeningen uit te schakelen. Het Tor Project waarschuwt gebruikers dat dit alleen als tijdelijke oplossing moet worden gebruikt, aangezien er op deze manier een belangrijke beveiligingsmaatregel wordt uitgeschakeld.

[Captain Kirk]

Mozilla heeft een update uitgerold om het probleem te verhelpen waardoor bij Firefoxgebruikers alle extensies werden uitgeschakeld. Een verlopen certificaat zorgde er dit weekend voor dat de browser bij honderden miljoenen gebruikers de extensies uitschakelde.

Ook was het niet meer mogelijk om extensies te installeren. Mozilla gebruikte het certificaat dat was verlopen voor het signeren van Firefox-extensies. Doordat het certificaat was verlopen was de digitale handtekening van de certificaten niet meer geldig en besloot Firefox die uit te schakelen. Voor dezelfde reden werd ook de installatie van extensies geblokkeerd.

Mozilla kwam dit weekend al met een tussentijdse oplossing om het probleem te verhelpen. Nu is er via de automatische updatefunctie van Firefox een fix uitgerold. Deze update repareert de certificaatketen, zodat uitgeschakelde webextensies, themes, zoekmachines en taalpakketten weer werken. Mozilla merkt op dat er nog resterende problemen zijn waaraan wordt gewerkt, maar dat er besloten is om de update voor maandag uit te rollen om de impact van uitgeschakelde extensies voor het begin van de nieuwe week te beperken.

Voor gebruikers van Firefox Desktop en Android is versie 66.0.4 beschikbaar. Gebruikers van Firefox ESR kunnen updaten naar versie 60.6.2. Op de meeste systemen zal de nieuwe versie automatisch worden geïnstalleerd. Anders is de nieuwste Firefox-versie via Mozilla.org te downloaden.

 

 

bron: security.nl