Firefox beveiligingssandsbox melding

donderdag 27 november 2025 21:27

Acties:

Topicstarter

Sinds een week krijg ik onderstaande melding in Firefox 145.0.2 64-bits (net onder de favorietenbalk).
OS: W10 64bit met ESU enabled.

Heb alle add-ons uitgeschakeld, geschiedenis gewist en via about:config het sandboxlevel security op 0 gezet. Dit heeft geen soelaas geboden.

Heb deze melding nog niet eerder gezien en kom hem verder op het internet niet tegen.
Iemand een idee wat dit zou kunnen veroorzaken?

Laatste optie is een verse installatie te doen van Firefox.

Melding in tekst:
'De beveiligingssandbox is uitgeschakeld. Uw configuratie wordt niet ondersteund en is minder veilig.'

Screenshot:
https://www.dropbox.com/s...0zz4aebk08fs7q3e9j7l&dl=0

donderdag 27 november 2025 22:29

Acties:

Hero of Time

Moderator LNX

There is only one Legend

Die zag ik ook eens. Ga naar about:config, accepteer de eventuele waarschuwing en zoek naar 'sandbox'. Er zal een item met de term 'level' zijn die hoogstwaarschijnlijk op '0' staat. Met helemaal rechts een pijl als 'undo'. Klik hierop, de waarde zal dan naar '6' gaan (bij mij iig). Dit is de waarde die het standaard zou hebben.

Ik weet ook niet waarom of wat het daar op heeft gezet.

Commandline FTW | Tweakt met mate

donderdag 27 november 2025 23:14

Acties:

Room42

Even hier, dat is wel zo handig voor de toekomst van dit topic.

Afbeeldingslocatie: https://tweakers.net/i/fHjLhjPRE_n1R3Gb0aIaf1ILcPI=/800x/filters:strip_icc():strip_exif()/f/image/izQyFLnVNkZOpyGfSbFqtE4z.jpg?f=fotoalbum_large

"Technological advancements don't feel fun anymore because of the motivations behind so many of them." Bron

vrijdag 28 november 2025 08:06

Acties:

Pieter155

Topicstarter

Bedankt voor jullie respons. Ga het vanavond even proberen!

vrijdag 28 november 2025 18:40

Acties:

Pieter155

Topicstarter

Net even gekeken.

sandbox.content.level stond op 0 en nu weer op 8; geen verbetering. Deze parameter had ik zelf al geprobeerd te verhogen of te verlagen.

sandbox.socket.process.level als sandbox.windows.log.stacktracedepth staan op 0 en spring na aanpassen weer terug op 0.

Ook diverse andere parameters terug naar default gezet in about:config en firefox+windows gereboot. De balk blijft steeds zichtbaar helaas. Als jullie nog suggesties hebben hoor ik het graag.

vrijdag 28 november 2025 20:27

Acties:

Hero of Time

Moderator LNX

There is only one Legend

Die eerste die je noemt, security.sandbox.content.level zou standaard op 6 moeten staan. Als je 'm zelf op 8 zet, is dat wellicht een ongeldige waarde en staat het alsnog uit. Bij mij stond er een 'undo' knop naast wat 'm op 6 zette.

Commandline FTW | Tweakt met mate

zondag 30 november 2025 15:54

Acties:

Pieter155

Topicstarter

Bedankt voor je respons Hero. Net gekeken op mijn W11 laptop met dezelfde FF versie, hier staat hij ook op '8'. Tevens getest met '6' maar de balk blijft in beeld. Hierna een volledige opfris van FF uitgevoerd, alle add-ons etc. werden netjes verwijderd, na starten staat de balk nog steeds in beeld. De oude config hierna weer hersteld. Vervolgens de overige 'sandbox' parameters tussen beide machines vergeleken en deze zijn gelijk.

Tot in hoeverre zou dit veilig zijn het zo te laten? En is er een manier om de sandboxfunctie te testen?

Het verbergen van de balk is niet mogelijk omdat er geen kruisje/hide knop bij staat. Via de optie 'Werkbalk' aanpassen kan ik hem niet verplaatsen en/of verwijderen.
Binnen about:config diverse zoektermen gebruikt als 'warning', 'message', etc. om te zien of ik het bericht ergens kan disabelen. Als iemand nog een idee heeft hoor ik graag

Toevoeging:
Ik kwam net de table uit onderstaande link tegen met verschillende Sandbox niveaus voor Windows.
@Hero of Time Misschien dat jij een ander beveiligingsniveau hebt op jouw (Unix?) OS?
De items bij de mitigations zeggen mij eerlijk gezegd niet zoveel.

https://wiki.mozilla.org/Security/Sandbox

[ Voor 15% gewijzigd door Pieter155 op 30-11-2025 16:01 ]

zondag 30 november 2025 16:13

Acties:

F_J_K

Moderator CSA/PB

Front verplichte underscores

Een virusscanner kan ook in de weg zitten. Gebruik je Defender, of iets anders?

'Multiple exclamation marks,' he went on, shaking his head, 'are a sure sign of a diseased mind' (Terry Pratchett, Eric)

zondag 30 november 2025 16:59

Acties:

Pieter155

Topicstarter

Goed punt. De afgelopen jaren altijd een F-secure pakket in gebruik. Deze als test tijdelijk uitgezet, de melding blijft in FF. Verder geen malware of andere scanners draaien.

zondag 30 november 2025 19:21

Acties:

Hero of Time

Moderator LNX

There is only one Legend

Ik kreeg op m'n werklaptop dezelfde melding als jij. Toen ben ik eerst gaan zoeken, kwam iets tegen over de levels waar jij ook naar linkt. Toen ook about:config in gedoken en met onze Windows Server 2019 management server vergeleken, want daar had ik de melding niet. Daar zag ik dus '6' staan en geen 'undo' knop rechts. Die had ik toen op m'n laptop zelf gebruikt en werd het niveau ook naar '6' gereset.

Kijk trouwens eens bij 'about:support' wat er bij de kop 'Sandbox' staat. Bij mij zijn alle opties 'true' en is het ingestelde en effectieve niveau '6'.

Commandline FTW | Tweakt met mate

zondag 30 november 2025 20:01

Acties:

Pieter155

Topicstarter

Ok, deze parameter for the time being even op 6 gezet en about:support gecheckt.
Hier zie ik het volgende:

Sandbox

Sandboxniveau van inhoudsproces: 6
Effectief sandboxniveau van inhoudsproces: 0
Win32k-vergrendelingsstatus voor inhoudsproces: Win32k Lockdown enabled -- user in Treatment Group
Sandboxniveau van GPU-proces: 1

Het 'inhoudsproces' lijkt op 0 te staan. Binnen about:config heb ik parameter 'security.sandbox.socket.process.level' van 0 naar 6 gewijzigd maar deze veranderd niet mee in about:support. Het lijkt dus een andere parameter te zijn, maar welke..?
Zou je misschien eens op jouw machine kunnen kijken welke parameters jij ziet en of er een mogelijke match is binnen about:config?

zondag 30 november 2025 21:51

Acties:

Hero of Time

Moderator LNX

There is only one Legend

Dit is bij mij about:support:

code:

Sandbox
Seccomp-BPF (System Call Filtering)     true
Seccomp Thread Synchronization          true
User Namespaces                         true
Content Process Sandboxing              true
Media Plugin Sandboxing                 true
Content Process Sandbox Level           6
Effective Content Process Sandbox Level 6

En dan in about:config zoekende op 'sandbox' zijn dit mijn waarden:

code:

media.cubeb.sandbox                             true
security.sandbox.content.level                  6
security.sandbox.content.read_path_whitelist    <blanko>
security.sandbox.content.syscall_whitelist      <blanko>
security.sandbox.content.tempDirSuffix          *uuid*
security.sandbox.content.win32k-experiment.enrollmentStatus         0
security.sandbox.content.win32k-experiment.startupEnrollmentStatus  0
security.sandbox.content.write_path_whitelist   <blanko>
security.sandbox.gpu.level                      0
security.sandbox.plugin.tempDirSuffix           *uuid*
security.sandbox.socket.process.level           2
security.sandbox.warn_unprivileged_namespaces   true

De twee UUID zaken zijn tevens vet gedrukt, oftewel, een andere waarde dan standaard. Maar gezien de optie zelf is dat niet gek.

Let wel, ik heb Firefox op Debian met de Debian build, niet de Mozilla build. Er kan een afwijking zijn tussen die twee, buiten al het verschil in platform.

Commandline FTW | Tweakt met mate

maandag 1 december 2025 15:28

Acties:

musiman

Mijn wachtwoord is: Welkom01

Mijn firefox op Windows 11 heeft deze sandbox instellingen in about:config:

Afbeeldingslocatie: https://tweakers.net/i/6rhwBb7TNHhmdRyXFqgGPPew-5A=/800x/filters:strip_exif()/f/image/M2xwnarpF1l994QOaCpqpM1h.png?f=fotoalbum_large

Mijn firefox op Kali Linux heeft deze sandbox instellingen:

Afbeeldingslocatie: https://tweakers.net/i/OAFthRtBlxvsNJvRsRJg1-l2UN0=/800x/filters:strip_exif()/f/image/fx0yDKoLuiQ89zGvX4YeZCt9.png?f=fotoalbum_large

[ Voor 32% gewijzigd door musiman op 01-12-2025 15:36 ]

Make music, not war

dinsdag 2 december 2025 18:21

Acties:

Pieter155

Topicstarter

Bedankt voor jullie bijdragen en info! Wat ik ook probeer, de parameter 'Effectief sandboxniveau van inhoudsproces' blijft op 0 staan. Zowel met een waarde van 6 als 8 blijft het effectieve niveau op 0.

Gisteren een downgrade gedaan naar versie 144, alleen blijkt het profiel niet te openen omdat deze in een nieuwere versie (145) is aangemaakt.
In de releasenotes van versie 145 lees ik wel dat er juist wat aanpassingen gedaan zijn rondom de Sandbox, maar dan met name de GPU sandbox. Deze lijkt mij mij wel te werken.

Opzich kan ik hier even mee draaien en kijken wat een eventuele volgende update brengt.
Hebben jullie nog ideeën hoe ik de foutmelding kan verbergen?

dinsdag 2 december 2025 18:59

Acties:

F_J_K

Moderator CSA/PB

Front verplichte underscores

Ik zou verwachten dat je bij security.sandbox.content.level = 0 geen melding meer krijgt. Wel dus. Maar ja, dan doet 'ie het nog niet...

Iets verandert qua virtualisatie? In bios, firmware, drivers, instellingen. Ik meen dat het leunt op Windows of hardware virtualization. Voor de zekerheid ook standaard Windows checks met sfc en dism proberen.

'Multiple exclamation marks,' he went on, shaking his head, 'are a sure sign of a diseased mind' (Terry Pratchett, Eric)

dinsdag 2 december 2025 20:51

Acties:

Hero of Time

Moderator LNX

There is only one Legend

F_J_K schreef op dinsdag 2 december 2025 @ 18:59:
Ik zou verwachten dat je bij security.sandbox.content.level = 0 geen melding meer krijgt. Wel dus. Maar ja, dan doet 'ie het nog niet...

Dat is dus ook het punt, op m'n werklaptop stond die exacte optie op 0 en kreeg ik dus de melding van TS. Toen ik het had gereset, was de melding weg.

Voor @Pieter155 is het van belang om te achterhalen wat de effective level veroorzaakt. Je hebt FF wel laten opfrissen, maar had je ook via about:profiles een nieuw profiel geprobeerd? Die kan je na je test wel weer verwijderen als het geen verschil geeft.

Commandline FTW | Tweakt met mate

woensdag 3 december 2025 20:41

Acties:

Pieter155

Topicstarter

@F_J_K , dat was ook mijn verwachting. En nee, er zijn de afgelopen geen wijzigingen geweest in de config. Afgezien van wat ESU W10 updates, deze heb ik handmatig verwijderd zonder succes richting de sandbox.
SFC gerund, hier waren wat corrupte files/verwijzingen welke zijn hersteld. Na reboot nog steeds de melding
DISM kan ik nog doen inderdaad.

@Hero of Time Net een nieuw profiel aangemaakt en getest, de melding staat nog steeds in beeld. Wel een set nieuwe parameters in beeld via about:support welke in het originele profiel niet zichtbaar zijn (kopje omgevingsvariabelen), namelijk

MOZ_DISABLE_CONTENT_SANDBOX = 1
en
MOZ_DISABLE_NPAPI_SANDBOX = 1

Interessant want een disable met parameter 1 lijkt op het effectief uitschakelen van iets

Via onderstaande info pagina (zie ook screenshot) de beide parameters op 0 gezet via de CMD en opnieuw gestart. Helaas nog steeds de melding. De effectieve beveiliging blijft hardnekkig op 0 staan..

Onderaan het screenshot staan twee custom build opties om de sandbox volledig te disablen en mogelijk ook weer enablen. Echter krijg ik dit via de CMD niet voor elkaar. Heeft iemand van jullie hier ervaring mee. Ik gok dat dit alleen onder Linux werkt. Zou willen proberen te forceren om de sandbox even uit en weer aan te zetten op die manier.

https://wiki.mozilla.org/Security/Sandbox

Afbeeldingslocatie: https://tweakers.net/i/Q66piCb0grpaDcO0N9Q_2iv11zU=/800x/filters:strip_exif()/f/image/2wyuZUjuCzHCV2xIAWP7Koh8.png?f=fotoalbum_large

woensdag 3 december 2025 21:40

Acties:

Hero of Time

Moderator LNX

There is only one Legend

Via onderstaande info pagina (zie ook screenshot) de beide parameters op 0 gezet via de CMD en opnieuw gestart. Helaas nog steeds de melding.

Dat is ook niet zo heel gek als je de stappen in het screenshot hebt gevolgd hiervoor. Het 'set' commando is voor de sessie van de command prompt. Als je van daaruit niet Firefox start, maar het venster weer sluit en reboot, is er helemaal niks aangepast.

Wil je weten of die variabelen zijn gezet op je systeem, dan kan je het 'set' commando draaien zonder argumenten. Maar je kan het ook via Systeeminfo en dan Geavanceerde Instellingen de omgevingsvariabelen bekijken voor je eigen gebruiker en het systeem. Je kan het dan ook, als je admin rechten hebt, wijzigen of verwijderen.

Commandline FTW | Tweakt met mate

donderdag 4 december 2025 07:58

Acties:

Pieter155

Topicstarter

Herstel, de stappen uit het screenshot heb ik exact gevolgd gevolgd door een herstart van FF via cmd. Het OS is niet opnieuw gestart. De beide parameters stonden in FF op 0.

Net de parameters via 'set' bekeken en zie dat ze inderdaad op 1 staan. Beide via de omgevingsvariabelen op 0 gezet en nu Windows wel gereboot. De melding staat nog steeds in FF.

Zijn er nog meer van dergelijke variabelen?

DISM geeft onderstaande meldingen:

code:

C:\WINDOWS\system32>DISM /Online /Cleanup-Image /CheckHealth

Deployment Image Servicing and Management tool
Version: 10.0.19041.3636

Image Version: 10.0.19045.6575

No component store corruption detected.
The operation completed successfully.

En

code:

C:\WINDOWS\system32>DISM /Online /Cleanup-Image /ScanHealth

Deployment Image Servicing and Management tool
Version: 10.0.19041.3636

Image Version: 10.0.19045.6575

[==========================100.0%==========================] No component store corruption detected.
The operation completed successfully.

Vraag

Alle reacties