Firefox wil gebruikers beschermen tegen nieuwe aanvallen op gevoelig webverkeer en parkeert Java in de hoek.
In de volgende update van Firefox zal de browser waarschijnlijk niet werken met Java, waarmee een nieuwe SSL-aanval verkomen moet worden. Brian Smith, Firefox-ontwikkelaar, schrijft op het Mozilla bug-forum: "Ik stel voor dat we alle versies van de Java-plugin blokkeren."
Hij vervolgt: "Ik heb begrepen dat Oracle zich al dan niet bewust is van de details. Tot nu toe hebben we geen ETA [estimated time of arrival – red.] om de Java-plugins te repareren." Dat Java niet beschikbaar zal zijn in Firefox betekent dat een aantal functies niet meer beschikbaar is in de browser, zoals Facebook videochat, Java-based apps en veel spelletjes.
De aanval van BEAST
Firefox onderneemt deze stap naar aanleiding van een methode die met SSL/TLS verleutelde verbindingen en cookies kan decrypten. Security-onderzoekers hebben daarbij nu ook een Java-app ingezet om dit lek te kunnen misbruiken.
TLS 1.0 is daardoor kwetsbaar voor cryptoaanvallen, waardoor cookies ontsleuteld en uitgelezen kunnen worden. De methode is door ontdekkes Thai Duong en Juliano Rizz 'BEAST' ("block-wise chosen-plaintext attack against SSL/TLS") genoemd.
Ook problemen met add-ons
Firefox neemt ook maatregelen vanwege problemen met add-ons. De uitrol van Firefox 7 wordt in de wacht gezet omdat er een probleem is met geïnstalleerde add-ons die verdwenen na een upgrade.
Justin Scott, Firefox Add-ons team, zegt: "We hebben nieuwe updates voor Firefox gepauzeerd om de potentiële gevolgen voor gebruikers te beperken. We zullen snel een fix uitbrengen om het probleem op te lossen en ervoor te zorgen dat al je add-ons zichtbaar zijn.."
Webwereld