Zitat von spoofieMag sein, dann frage ich mich aber doch, weshalb davon nichts in dem offiziellen Statement steht sondern nur im Kommentar.
Weil es eigentlich naheliegend ist, dass wenn eine Sicherheitslücke im PDF-Betrachter existiert, diese nur auftritt, wenn dieser überhaupt zum Einsatz kommt und nicht etwas ganz anderes. Aber wohl nicht klar genug, so hat sich diese Frage halt in den Kommentaren ergeben und wurde dort beantwortet.
Zitat von spoofieHast du gepatschte Version noch nicht bekommen?
Doch. Meine Antwort war eigentlich für Sören gedacht, aber du bist dazwischen geraten. 
Zitat von bigpenaber du bist dazwischen geraten
Sorry 
Zitat von Sören HentzschelWeil es eigentlich naheliegend ist,
Ja, dass es naheliegend sei, dachte ich zunächst auch. Deshalb war ja mein Rat, zwischenzeitlich einfach einen externen Viewer zu nehmen. Dennoch, wie abifiz schon schreibt, so klar war das nirgends formuliert. Ich finde eher im Gegenteil. Und die Sache mit dem Adblocker erklärt sich nicht so naheliegend.
na, interessante Hinweise.
dann wähle ich das Teil glatt wieder ab und switche wieder zu Adobe, der läuft wenigstens in ner Sandbox. und ohne Javascript demnach wohl sicherer als der Firefix eigene PDF-Viewer (der ja eigentlich als sooo sicher beworben wurde). :lol:
:shock:
.. du liest nicht... mit dem UpDate ist das Loch wieder zu...
und beachte vielleicht... die Aussagen zu irgendwelchen Sicherheiten beziehen sich immer und überall auf die bis dahin bekannten Erkenntnisse...
Wer übrigens uMatrix oder NoScript etc. benutzt, war eher nicht gefährdet...
Zitat von BoersenfegerWer übrigens uMatrix oder NoScript etc. benutzt, war eher nicht gefährdet...
Und sollte sich dennoch nicht in Sicherheit wiegen. Die Aussage
People who use ad-blocking software may have been protected from this exploit depending on the software and specific filters being used.
ist nämlich nicht gerade sehr hilfeich weil unspezifisch. Da ein erfolgreicher Angriff keinerlei Spuren hinterlässt, kann niemand mit Sicherheit wissen, ob er nicht schon Opfer wurde. Vor dem Sicherheitsupdate. Daher sollte man im Zeifelsfall die Passwörter ändern.
Das ist schon komisch. Sobald hier jemand mit xp erscheint oder nem alten IE unter Win 7 gibts hier ein riesen Trara. In diesem Fall empfiehlt sogar Mozilla selbst, die Passwörter zu ändern, wenn man eines der erwähnten Programm benutzt.
Zitat von Black-Cab993dann wähle ich das Teil glatt wieder ab und switche wieder zu Adobe, der läuft wenigstens in ner Sandbox. und ohne Javascript demnach wohl sicherer als der Firefix eigene PDF-Viewer (der ja eigentlich als sooo sicher beworben wurde). :lol:
Zum Vergleich: Mozillas PDF-Betrachter hat eine Sicherheitslücke pro Jahr, der Adobe Reader 17 Sicherheitslücken pro Jahr (Quelle: Mark Schmidt, Head of Support Mozilla), Mozilla hat die Sicherheitslücke zudem gerade mal 16 Stunden (!) nach Bekanntwerden mit einem Update behoben, bei Adobe wartest du mehrere Tage auf ein Update. Nur weil jetzt mal eine Sicherheitslücke bekannt geworden ist, ist der PDF-Betrachter nicht per se unsicher, die Realität beweist das Gegenteil. Oder wie viele Sicherheitslücken sind dir vorher bekannt gewesen?
@Sören
Schmunzel, schmunzel: Hatte mir Ähnliches still kopfschüttelnd gedacht...
und übrigens:
@Black-Cab
Absolute Sicherheit in "digitalibus" wäre das Analogon zu einem bedächtigen, besonnenen, in-erregten alkoholsüchtigen Paranoiker... 
abifiz
Mußte das Update manuell einspielen, Firefox wollte nicht anders.
Bei den überzogenen Reaktionen, muß man sich doch wirklich Fragen, ob man nochmal eine Frage einstellen soll.
Es ging hier nur darum, ob die 0.3 angezeigt wird, oder nicht. Resultat waren Belehrungen, Pankreaktionen, usw. aber alles Äußerungen, die rein garnichts mit der Anfrage zu tun hatten.
Jungs bleibt doch gelassener, ruhiger.
Damit ich es nicht vergesse, die PDF Anzeige in Firefox war zum Zeitpunkt der Anfrage bereits abgeschaltet. Deshalb hatte ich auch absolut keine Eile beim Update.
Zitat von Sören Hentzschel... Mozilla hat die Sicherheitslücke zudem gerade mal 16 Stunden (!) nach Bekanntwerden mit einem Update behoben,...
Das ist tatsächlich löblich, mit Bekanntwerden muss hier allerdings "in der Öffentlichkeit bekannt werden" gemeint sein. Die eigentliche Wurzel des Übels, die Umgehung der Same-Origin-Policy, wurde bereits am 05.Juli als CVE-2015-2743 bei der NVD eingetragen. Vermutlich hatte Mozilla deshalb so fix einen Fix ;).
Zitat von spoofieUnd sollte sich dennoch nicht in Sicherheit wiegen.
Dies betrifft das Leben im allgemeinen...
Zitat von spoofieDas ist schon komisch. Sobald hier jemand mit xp erscheint oder nem alten IE unter Win 7 gibts hier ein riesen Trara.
Du siehst das anders?
Zitat von spoofieIn diesem Fall empfiehlt sogar Mozilla selbst, die Passwörter zu ändern, wenn man eines der erwähnten Programm benutzt.
... eben, wenn man eins der beiden Programme nutzt... und, und ich wiederhole mich da gern... wenn man uMatrix und uBlock nutzt, ist der Abstand zur Sicherheit um ein Vielfaches kleiner...
Zitat von Boersenfegerund, und ich wiederhole mich da gern... wenn man uMatrix und uBlock nutzt, ist der Abstand zur Sicherheit um ein Vielfaches kleiner...
Da ist wieder eine der Formulierung, die ich in dieser Form nicht nachvollziehen kann. Zumindest nicht, wenn dir an Objektivität gelegen ist. Mozilla schreibt:
People who use ad-blocking software may have been protected from this exploit depending on the software and specific filters being used.
Das heißt nicht anderes als dass Benutzer von Ad-Blockern geschützt gewesen sein könnten. Zwischen diesem nicht näher spezifizierten "vielleicht" und der Aussage "um ein Vielfaches sicherer" besteht ein großer Unterschied. Kennst du weitere technische Details, auf denen diese Aussage beruht? Dann wäre es nett gewesen, diese auch zu nennen.
Es gab zwischenzeitlich ein Update seitens Mozilla. Danach wurde nun auch eine Variante für Macs gefunden.
.. es ist mir relativ latte, ob du etwas nachvollziehen kannst... ich schrieb übrigens
Zitat von Boersenfeger.. ist der Abstand zur Sicherheit um ein Vielfaches kleiner...
Zitat von spoofieZwischen diesem nicht näher spezifizierten "vielleicht" und der Aussage "um ein Vielfaches sicherer" besteht ein großer Unterschied.
Du zitierst mich falsch... dies möchtest du bitte unterlassen, da mir Sachen in den Mund geschoben werden, die ich so nicht geschrieben habe...
Absolute Sicherheit gibts nicht im Internet. Erst recht also keine vielfache Sicherheit...
Weiters verwende ich nicht nur den AdBlocker uBlock sondern auch den Script-Blocker uMatrix.
Deinen letzten Satz kann ich nicht in Zusammenhang bringen...
Zitat von BoersenfegerDu zitierst mich falsch...
Das stimmt nicht. Ich habe dich zunächst korrekt zitiert und die Aussage des Zitats dann in eigenen Worten wiedergegeben. Die von mir verwendetet Anführungszeichen sind in diesem Fall nicht als Zitat zu verstehen, ganz im Gegenteil.
Zitat von Boersenfegerdies möchtest du bitte unterlassen, da mir Sachen in den Mund geschoben werden, die ich so nicht geschrieben habe...
Dann klär mich bitte auf. Wie ist die Aussage, dass der Abstand zur Sicherheit um eine Vielfaches kleiner wird, denn anders zu verstehen, als dass die Sicherheit mit dem Blocker wesentlich besser ist, bzw. in diesem Fall war.
Mir sind keine Tatsachen bekannt, die den Begriff Vielfaches rechtfertigen würden. Er kann aber dazu führen, dass sich Nutzer um um eben dieses Vielfaches sicherer fühlen, obwohl sie es gar nicht waren. Latte hin oder her.
Zitat von spoofie... kann aber dazu führen, dass sich Nutzer um um eben dieses Vielfaches sicherer fühlen, ...
Ich denke, diese Nutzer können für sich selber entscheiden wie sicher sie sich fühlen oder gibst Du Dich als Sprachrohr für ander Nutzer?
Kommt mir hier leider so vor. Musste ich einfach so deutlich zu Ausdruck bringen.
Ach Barbara-Z,
ich verstehe ja, dass du dem Boersenfeger beistehen willst. Natürlich soll jeder Nutzer die Sicherheit selbst beurteilen. Nur halt nicht auf Basis einer falschen Behauptung.
Spaltet bitte in einem anderen Thread Haare, sonst mache ich von meinem Recht Gebrauch, meinen eigenen Thread zu schließen. Da ich diesen Thread erstellt habe, muss nicht erst gegen Regeln verstoßen werden, damit hier dicht ist, jeder Themenersteller hat jederzeit das Recht diesen Wunsch für sein eigenes Thema zu äußern (und ich kann es eben direkt umsetzen).
Einverstanden. Meinetwegen kannst du hier gern zu machen. Die Lücke ist schließlich geschlossen. Außerdem nehme ich an, dass du es hier bereits mitgeteilt hättest, wenn es nähere Erkenntniss dazu gäbe, unter welchen Bedingungen genau ein Add-Blocker geschützt hätte.
