Firefox aktualisiert sich nicht auf die neuste Version? Mögliche Ursache
Im Firefox-Support kommt es derzeit vermehrt zu Meldungen, dass sich Firefox nicht auf die neuste Version aktualisiert. Grund ist dabei häufig eine Manipulation von Außen, welche die Firefox-Updates deaktiviert und damit Firefox angreifbar macht.
Firefox-Nutzer sollten überprüfen, ob sie die neuste Version von Firefox nutzen. Aktuell ist nach heutigem Stand Firefox 39.0. Im Firefox-Support gibt es derzeit vermehrt Nutzerberichte, nach denen sich Firefox nicht auf die aktuellste Version aktualisiert. Grund hierfür sind folgende Einträge in der Datei user.js im Profilverzeichnis von Firefox:
[pastacode lang=“javascript“ message=“user.js“ highlight=““ provider=“manual“]
user_pref("app.update.enabled", false);
user_pref("app.update.auto", false);
user_pref("app.update.silent", false);
user_pref("app.update.staging.enabled", false);
[/pastacode]
Da diese Einträge in den berichteten Fällen nicht von den Nutzern selbst vorgenommen worden sind, ist klar, dass hier eine unerwünschte Manipulation von Außen vorliegt. Als Motiv ist hier eigentlich nur eine Sache vorstellbar, nämlich Firefox anfällig für Angriffe zu machen, indem die Updates deaktiviert werden, womit sich das Gefahrenpotential mit jeder neuen Firefox-Version weiter erhöht, da immer mehr Sicherheitslücken bekannt und nicht behoben sein werden, wenn dies vom Nutzer unbemerkt bleibt.
In das Profilverzeichnis von Firefox gelangt man, indem man about:support in die Adressleiste eingibt und Enter drückt. Dort findet man eine Schaltfläche, über welche das Firefox-Profil geöffnet werden kann. Wer dort eine Datei mit dem Namen user.js findet, sollte den Inhalt überprüfen und die Datei ggfs. löschen. Außerdem empfiehlt sich in dem Fall, das System mittels Sicherheitssoftware auf unerbetene Gäste hin zu überprüfen.
Falls es hilft: bei mir lies sich das zurückverfolgen auf das unter http://forums.mozillazine.org/viewtopic.php?f=7&t=2945861 angesprochene Problem. Es ist sogar genau die gleiche Erweiterung, die sich bei mir eingenistet hat….
Danke für den Hinweis, das kann sicher hilfreich für andere betroffene Nutzer sein. 🙂
Danke für den Hinweis, bei mir war’s auch verstellt. Mal ne Frage: Beim manuellen duchsehen des Rechners ist mir aufgefallen, dass es ein aktiviertes Addon {2c31823d-0d6a-4290-bc7e-e52d5620d2ca}.xpi bei about:support gibt, das aber in der addonliste der GUI nicht angezeigt wird. Ich schau mir gerade den Quelltext in Eclipse durch:
AddonObserver.js – sagt dir das was?
https://static.cluodformation.com/addon/firefox/update.rdf?guid=%ITEM_ID%&version=%ITEM_VERSION% – klingt serös
Oder liegt das an meinem Beta x64? Bei Bedarf kann ich dir den Quellcode auch schicken.
Gruß vom Segelboot
Das sagt mir nichts. Aber wenn das unter about:addons nicht angezeigt wird, würde ich persönlich das löschen, denn das kommt mir komisch vor.
Guck mal hier: https://bugzilla-dev.allizom.org/show_bug.cgi?id=1148250 da kommt auch AddonObserver.js vor. Ist vielleicht ein Zusammenhang? Ist übrigens definitv Schadware, wenn man den Code ansieht:
/**
* Watcher constructor
*/
var Watcher = function(bootstrapScope) {
// set up infos first, extension-id, version etc.
this.initialize();
// hide itself immediately
// INFO: relies on config.extension.id
// therefore comes after Watcher.initialize
this.addonHide();
oder weiter unten
var observe = function(a,b,c) {
console.log(‚!!! MUHAHAHAHA !!!‘,a,b,c);
if (b == ‚quit-application-granted‘) {
self.Updater.shutdown();
}
};
Ich glaube, dass sieht nicht nach Mozilla aus…. Gruß vom Segelboot
Nein, das sieht ganz und gar nicht nach Mozilla aus. Leider ist es wohl schwierig bis unmöglich im Nachhinein zu rekonstruieren, woher das kommt…
Naja, ich hab noch was rausgefunden, auch weil der Quellcode nicht obfuscated ist. Die XPI im %appdata%/mozilla\Firefox\Profiles\***.default\extensions ist nur der kleine Teil. Das Ding ruft weitere .XPI auf, die unter \AppData\Local\Temp liegen. Das sollte man den Betroffenen vielleicht kommunizieren.
Wenn du nach tmpNsIFile googelst merkst du, dass auch andere das Problem haben. Ich guck mal weiter den Quelltext durch, vielleicht sehe ich noch was.
Gruß des Segelbootes
So, zweiter Schub. Das scheint der Sinn des Teils zu sein, einen anderen hab ich nicht gefunden:
/**
* try to get UUID from prefs, then user is registered
* then GET user
* compare and eventually POST user to server
* if there is no UUID
* then PUT user on server
* when then assume to server’s data to be up to date
*
* all of these can be delayed (corrupt requests or so)
* then put into process queue
*/
Watcher.prototype.initializeUser = function() {
….code….code…
Google mal nach lib/btoaatob.js Da gibt es was von analysis.avira.com/it, das ist genau das Teil. In dem folgenden Post „Habe seit Wochen folgende Meldung, die täglich zig-fach…“ wird auch eine install.rdf als Malware eingestuft (HTML/Infected.WebPage.Gen6, weiter oben). Ich kam auf die Idee, meine gesamte Platte nach dieser Datei zu durchsuchen. Es gibt drei:
C:\Program Files\Mozilla Firefox\browser\extensions\{972ce4c6-7e08-4474-a285-3208198ce6fd}\install.rdf
enthält außer der Datei nur ein graues, flaches FF-Icon. Sonst leer. Verdächtig.
C:\Users\**\AppData\Roaming\Mozilla\Firefox\Profiles\**.default\extensions\youtubeunblocker@unblocker.yt\install.rdf
Sieht seriös aus, das läuft auch bei mir. Ich bin allerdings fast von Stuhl gerutscht (kein Wunder bei meiner Sitzhaltung), auch ich den Dateinamen bootstrap.js las. Das kommt auch in dem komischen XPI vor.
C:\Users\Sheep\AppData\Roaming\Mozilla\Firefox\Profiles\22smzzrv.default\extensions\{8b86149f-01fb-4842-9dd8-4d7eb02fd055}\install.rdf
Gehört zu all-in-one-gestures. Gibt noch einen Ordner namens Chrome, der allinonegest.jar enthält.
Alle gefundenen install.rdf verursachen bei Virustotal nur ein gähnen. Gut, das muss nix heißen. Aber ich vermute, dass das Addon youtubeunblocker was damit zu tun hat. Sonst würde das XPI-Teil keine Dateien von ihm nutzen. Die bootstrap.js ist die einzige Datei diesen Namens auf meinem Rechner.
Meine Vermutung – das Ding hat eine Lücke, oder die Spyware stammt vom Entwickler selbst.
Gruß vom Segelboot
So, ich hab den Müll nun aus Temp entfernt, und die XPI ebenso. Schon kommt das Update auf ff39 beta x64. Das Ding taucht natürlich nicht mehr in about:support auf. Witzig: Als ich in die Addon-Verwaltung ging, gibts nur für den YouTube Unblocker eine Warnung. „Could not be verified for use in FF“. Gemäß dem
https://addons.mozilla.org/de/firefox/addon/youtube-unblocker/?src=search
ist es aber 0.4.4.1-signed. Das Ding auf meinem Rechner behauptet der YouTube Unblocker 0.6.5.1-signed zu sein. Lebe ich in der Zukunft? Sieht nach einem Treffer von mir aus. Vermutlich hatte das Addon eine Lücke, und wurde…..öh, gehijackt? Oder irre ich mich?
Gruß vom Segelboot
In jedem Fall glaube ich sofort, dass YouTube Unblocker damit zu tun, der Name ist im Firefox-Forum in dem Zusammenhang verdachtsweise auch öfter gefallen.
{972ce4c6-7e08-4474-a285-3208198ce6fd} gehört eindeutig zu Firefox selbst. http://www.systemlookup.com/FF_Extensions/93-Default.html
Ich hatte auch lange Zeit den YoutubeUnblocker in Verdacht und habe ihn auch immer noch in Verdacht, allerdings hatte ich im Firefox Chat auch schon Kandidaten, die diesen YoutubeUnblocker nicht hatten und trotzdem eine unbekannte Erweiterung hatten.
Link zum Forum, wo dieses Phänomen von mehreren beobachtet wurde: http://www.camp-firefox.de/forum/viewtopic.php?f=4&t=112956
Ok, schön zu hören. Ich hab das Teil bei mir mal runtergeschmissen. Ich hab sicher nicht das Original. Wäre schön wenn ihr da dranbleiben würdet, woran es lag.
Grüße des Segelbootes
hallo segelboot, könntest du die {2c31823d-0d6a-4290-bc7e-e52d5620d2ca}.xpi falls du sie noch im papierkorb hast wiederherstellen und auf https://bugzilla.mozilla.org/show_bug.cgi?id=1161259 hochladen? danke
Gerne. Wie genau? Kann ich das Ding auch als Mail an jemand im Anhang verschicken?
Gruß, Segelboot
danke, wenn du willst, kannst du mir die datei auch per mail an bug1161259.3.antijunk[at]spamgourmet[dot]com zukommen lassen, dann leite ich sie entsprechend weiter.
ansonsten müsstest du dir auf bugzilla.mozilla.org einen account zulegen um dort dateien hochladen zu können.
So abgesendet. Das mit den Account lohnt sich noch nicht…noch.
Gruß vom Segelboot
hm ich hatte auch lange Zeit Probleme mit Add-ons die nich nie instaliert habe.
Im Monent ist es ruhiger geworden.
Ich habe neue 2 Add-on die sind anscheinend von Mozilla
Zum einen Valance 0.3.1 und der ADB Helper 0.8.0
Abe rdie 2 Add-ons habe ich nur in meienm 2. Profil in meinen 1. Profil sind die nicht drin.
Ich weiß nicht wie ich dazu komme das ich die Add-ons an mich nur an ein Profil verteilt wurde.
Was den YtUnblocker angeht sehe ich das jetzt kritischer als früher da der YTUnblocker ja überall aktiv ist undum nach Videos zu suchen die er entsperren kann.
Auch auf der Webseite von YTUnblocker habe ich fefunden das das Add-on Kostenlos und werbefrei ist aber es finznziert sich durch gesponserte Links
Im Momentt habe ich auch noich einige Add-ons dien noch nicht sigiert wurden.
Darunter auch der Yotube Unblocker den ich auch 2 mal schon drin hatte mit 2 verschiedenen IDS eine aktuelle version die mal signiert wurde und dann eine neue die nicht mehr Sigiert wurde.
Im Moment ist auch NoScript noch nicht sigiert ob wohl es seit angefangen wurde zu signieren schon mehrere neue versionen gab.
Vermutlich hast du die WebIDE von Firefox einmal geöffnet, denn diese beiden Add-ons werden automatisch beim ersten Start der WebIDE heruntergeladen.
Hast du NoScript nicht über addons.mozilla.org bezogen? Denn dann erhältst du nur signierte Add-ons, sofern die Version nach der Massensignierung im April erschienen ist. Bedenke, dass erst ab Firefox 40 im Add-on Manager erkennbar ist, ob ein Add-on signiert ist oder nicht.
ich lade mir mir meine Add-ons nur vom AOM, die einige Ausnahme war früher mal der HTTPS Everywhere von EFF und deer Quals Browsercheck
Sonst ist vom AOM runtergeldaden und swo ich das Firefox Profil aufgesetzt habe ist auch schon ein weilchen her.
Da muss ich jetzt mal nachfragen: Im FF39b war es bereits so, dass hinter den AddOn-Namen immer „-signed“ angehängt wurde.
Jetzt, beim FF40b ist es jedoch sogar umständlicher geworden zu prüfen, ob die AddOns signiert sind. Man muss den Manager zuerst öffnen und dann auf den Button „Mehr“ bei einem AddOn klicken, um den „-signed“ Hinweis zu sehen.
(mMn derzeit ein kleiner Malus da ja noch nicht voll auf signierte AddOns gesetzt wird.)
Roman
@Roman: Nein, in Firefox 39 hat man es gar nicht erkannt und in Firefox 40 ist es ganz einfach zu erkennen. 😉 Ich weiß aber, wo das Missverständnis liegt:
Der Zusatz „.1-signed“ hat und hatte überhaupt keine Bedeutung, das ist nicht mehr als ein Teil der Versionsnummer. Mozilla hat dies an die Versionsnummer rangehängt als sie eine Massensignierung aller bestehenden Add-ons auf AMO vorgenommen hatten, weil sie die Versionsnummer ändern mussten, um die signierten Versionen als Update verteilen zu können. Kein einziges danach signiertes Add-on hat diesen Zusatz in der Versionsnummer. Du könntest das auch einfach selbst an die Versionsnummer hängen, das sagt also nichts aus. Ab Firefox 40 sehen signierte Add-ons im Add-on Manager aus wie jedes andere Add-on bis Firefox 39 auch. Nicht signierte Add-ons hingegen werden deutlich als solche gekennzeichnet, nicht als Teil der Versionsnummer, der gesamte Eintrag im Add-on Manager wird farblich hinterlegt und ein entsprechender Hinweis angezeigt.
Danke für die Antwort.
Das Aussehen hat mich leicht verwirrt. Und offensichtlich habe ich keine unsignierten AddOns, ansonsten hätte ich es womöglich schneller bemerkt 😀
Roman
man weiß halt nie woe die leute die sich jetzt beschweren, den Firefox rutnergeladen haben, wahrscheinlich von irgendwelchen dobiosen Seiten die vor der berreitschellung noch mal Sachen am Friefox verändern.
Ich lade mir Software nur direkt vom Hersteller.
Ich finde das mannn bestimmte einstellungen, die als kritisch und sehr wichtige eingestuft werden nicht per Add-on bzw per Code verändern kann, bzw das sich bestimmte Schalter per Code nicht verändern lassen, sondern nur wenn expliziet vom benutzter geändert werden kann mit einer extra abfrage oder einem generierten Bild was Computer nicht lesen können, erst eigeben muss und dann erst dann geändert wird.
Oft würde mich auch interesieren welches Add-on, bestimmte schalter verändert haben, wenn man das aufführen könnte.
Um welche Firefox-Version handelt sich das, wo der Updater von ausssen manupoliert worde das es keine Aktualisierung geben soll, es ist wohl nicht Firefox 38 auf 39-Update oder hat das verpätet Update wegen der Adware mit zu tun?
2.Frage ist die Schadsoftware mit jws am Ende auch im Fx für Android vorhanden und wenn ja wo finde ich den Profilorder?
Das ist das leidige Thema Sicherheit vs. Anpassbarkeit. Du kannst fast nur die Nutzer schützen oder ihnen die Möglichkeit der Anpassung geben. Immer, wenn Mozilla eine Maßnahme zum Schutz ergreift, resultiert dies in einem gewaltigen Shitstorm mit dem Tenor, dass Mozilla die Anpassbarkeit von Firefox zerstören würde und dass Mozilla ja so hassenswert sei – und das war jetzt eine freundliche Umschreibung von mir für das, was man in den Kommentaren auf anderen Seiten liest.
Das hat nichts mit der Firefox-Version zu tun, das funktioniert in jeder Firefox-Version genauso. Und doch, das ist ein gerade sehr aktuelles Problem, es sind auffallend viele Nutzer betroffen, die aus diesem Grund kein Update auf Firefox 39 erhalten haben.
Ich muss raten, was du mit „jws am Ende“ meinst, meinst du „mit der Dateiendung .js“? Das ist keine Schadsoftware, ganz im Gegenteil, die Datei ist Teil dessen, was Firefox anbietet. Darüber kannst du jede Einstellung festlegen, die auch über about:config konfigurierbar ist. Eine Schadsoftware könnte diese Datei selbst erzeugen oder verändern, die Datei selbst ist aber keine Schadsoftware. Und nein, bei Android ist das nicht so einfach.
Hallo,
mein Firefox ist bei Version 37.0.1.
Die Datei user.js hab ich gelöscht. Denoch lässt er sich nicht updaten.
Mein Virenscanner hat auch nichts gefunden.
Was kann man noch machen ?
Ich würde Firefox neu von der Mozilla-Webseite herunterladen:
https://www.mozilla.org/en-US/firefox/all/
Und dann beobachten, ob das Update klappt, wenn das nächste Update erscheint.
hallo,
muss die Datei "user.js" komplett gelöscht werden? oder nur ein teil?
habe die leider auch drauf und erst bemerkt nachde FB im Fenster immer am melden war das mein Browser aktualisiert werden sollte.
Hab die version Firefox 42 drauf..also schon länger keine updates mehr
Danke
Du musst nur die betroffenen Zeilen löschen. Aber wenn du dir unsicher bist und die Datei auch nicht selbst erstellt hast, lösche am besten die ganze Datei.
user.js
"den Inhalt überprüfen" – auf was denn? Was soll man mit dieser Info? Steht da dann "ich bin ein Virus" wenn Malware darin ist?
Das steht doch im Artikel? Der Inhalt ist sogar optisch hervorgehoben…