Firefox 39.0.3 / ESR 38.1.1 behebt Sicherheitslücke

    Die Bedingung ist recht einfach: wenn der entsprechende Werbebanner blockiert worden ist. Wie die genaue URL dieses Banners ist, ist nicht öffentlicht bekannt und wird vermutlich auch nicht öffentlich bekannt gegeben, schließlich kann dieser Banner genutzt werden, um Schaden anzurichten und es gibt mit Sicherheit noch viele ungepatchte Systeme. Und ob ein Banner blockiert wird oder nicht, dafür sind normalerweise ja die Filterlisten verantwortlich. Es wird sich also auch gar nicht sagen lassen, dass man mit Blocker X oder Y sicher ist. Vermutlich ist man in den meisten Fällen geschützt gewesen, aber es lässt sich eben nicht mit Sicherheit sagen. Was Mozilla sagte, ist eben, dass Nutzer von Werbeblockern gute Chancen hatten, geschützt gewesen zu sein, und Boersenfeger hat mit seinem Beitrag auch nichts anderes als das ausgesagt. Weder Mozilla noch Boersenfeger haben geschrieben, dass diese Maßnahme mit Sicherheit geschützt hat.

    Zitat von Sören Hentzschel

    Es wird sich also auch gar nicht sagen lassen, dass man mit Blocker X oder Y sicher ist.

    Ja, genau das ist der Punkt. Da sind wir schon fast einer Meinung. Bis auf eine Kleinigkeit:

    Zitat von Sören Hentzschel

    Was Mozilla sagte, ist eben, dass Nutzer von Werbeblockern gute Chancen hatten, geschützt gewesen zu sein

    Mozilla hat in dem Artikel nicht einmal von guten Chance gesprochen, sondern nur von man könnte geschützt gewesen sein. Für mich ist es ein großer Unterschied, ob ein Tool mich vielleicht schützen könnte, ob ich gute Chancen habe mit dem Tool geschützt zu sein oder die Chance sogar um ein Vielfaches höher ist. Für dich mag das Haarspalterei sein, für mich ist es das nicht.

    Zitat von Sören Hentzschel

    Weder Mozilla noch Boersenfeger haben geschrieben, dass diese Maßnahme mit Sicherheit geschützt hat.

    Das habe auch nie behauptet sondern im Gegenteil den Rat seitens Mozilla wiederholt, die Passwörter zu erneuern, weil man im Nachhinein nicht feststellen kann, ob man betroffen war oder nicht. Egal, ob man einen AddBlocker hatte oder nicht.

    Mozilla hat das sehr verantwortungsbewusst kommuniziert. Man sollte das nicht abschwächen, auch wenn man ublock und umatrix für noch so toll hält. Dafür kann es im Fall des Falles viel zu ernst werden, wenn die Angreifer Passwörter abgegriffen haben.

    Zitat von spoofie

    ... ich verstehe ja, dass du dem Boersenfeger beistehen willst.


    Das legts Du mir eine Behauptung in den Mund, die so gar nicht stimmt.
    Ich habe es gar nicht nötig, Börsenfeger beizustehen.

    Freundliche Grüße
    Barbara

    ____________

    @ spoofie: Für weitere Haarspaltereien nimmst du bitte eine Parkuhr...
    Wenn du mich allerdings weiter falsch zitierst, oder ähnliches, werde ich mich zu wehren wissen..

    Zitat von Boersenfeger

    Für weitere Haarspaltereien nimmst du bitte eine Parkuhr...

    Ich weiß doch längst, dass solche unsachlichen Pöbeleien dein Mittel der Wahl sind, wenn du zum Thema nicht mehr weiter weißt. Das musst du nicht ein ums andere Mal beweisen.
    Andreas hat geschrieben, ich dürfe gemäß der Forenregeln auf Pöbeln nicht mit Pöbeln reagieren sondern müsse den Beitrag melden. Ich schenke mir das, weil ich nicht glaube, dass es irgendetwas bringt.

    Beiträge melden bringt deutlich mehr als sich gegenseitig öffentlich zu provozieren. Ob eine Meldung eine Reaktion welcher Art auch immer bewirkt, liegt natürlich im Ermessen der Teammitglieder. Aber wenn eine Meldung zu nichts führt, könnte man auch darüber nachdenken, wieso das so ist, sprich ob die eigene Sicht auf die Dinge wirklich auch objektiv gesehen so eindeutig ist, wie man dachte. Aber auch in dem Fall bringt das mehr als sich hier permanent anzugiften, denn Aktionen rufen in der Regel Reaktionen hervor und sowas vergiftet schnell das Klima und nervt nur. Das wiederum kann schnell dazu führen, dass man auch als Teammitglied von besagten Mitgliedern genervt ist und wenn dann mal wirklich was ist, nicht reagiert, wenn sich ein Fall nicht so einudeutig darstellt. Oder als normaler Nutzer genervt ist und später Beiträge als Provokation interpretiert, die so nicht gemeint waren. Nur meine persönliche Sicht.

    Bei mir ist das automatische Update auch noch nicht angekommen, da habe ich die neue Version 40.0 heute runtergeladen und den FF aktualisiert. Hat wunderbar funktioniert.


    OT: Die Sicherheitsprobleme bei Browsern und Betriebssystemen grassieren z.Zt. enorm, auch dank überwiegend ausländischer Hackerbanden (tlws. im Staatsauftrag). Die Unternehmen wundern sich, dass Betriebsgeheimnisse nicht mehr geheim sind und der BundesIM will in Kooperation mit dem BSI, dass die Betriebssysteme von Haus aus unsicher sind und das Volk (ein großer Teil) denkt : Hurra Merkel, alles ist schön. Prost, Mahlzeit, Schlafnation. :oops: OT-Ende.

    Danke, wirklich recht gut auch beschrieben. Wenn ich es richtig verstanden habe konnte mittels der Lücke "nur" so lange auf dem Rechner nach PW "gesucht" werden, wie das Script im Browser aktiv ist. Also sprich: sobald der Browser geschlossen wurde, konnte auch nicht weiter gesucht werden. Somit lässt sich hinterher auch keine (bösartige) Datei auf dem Rechner finden, oder?
    Wobei, wenn jemand einmal auf dem Rechner Zugang hatte ist das sowieso schon gruslig genug. :twisted:

    Hilfe auch im deutschsprachigen Matrix-Chat möglich oder im IRC-Chat
    Meine Anleitungstexte dürfen gerne "geklaut" und weiter verwendet/kopiert werden ;)

    Falls es wen interessiert, noch ein Nachtrag zur Sicherheitslücke, die in Firefox 39.0.3 behoben worden ist: Mozilla geht davon aus, dass sich der Angreifer unbefugten Zugang zu Mozillas Bugtracker verschafft und die dort stehenden (nicht öffentlichen) Informationen genutzt hat, um die Sicherheitslücke auszunutzen. Und zwar ist die Annahme, dass es ein Datenleck auf einer anderen Webseite gab und jemand mit den entsprechenden Rechten auf Bugzilla dort dieselben Logindaten verwendet hat, worüber sich der Angreifer Zugang verschafft hat.

    Der Account wurde mindestens seit September 2014 unbefugt genutzt, es gibt aber auch Anzeichen, die bis September 2013 zurückgehen. Nach Mozillas Analyse hat der unbefugte Nutzer auf insgesamt 185 nicht öffentliche Bugs zugegriffen, davon 75 Bugs zu Sicherheitslücken, von denen waren 53 schwerwiegende Sicherheitslücken. Von diesen 53 waren bereits 43 behoben, als der Eindringling die Bugs gesichtet hat. Was die anderen zehn Bugs betrifft, sieht es so aus, dass er für zwei Bugs einen Zeitrahmen von weniger als sieben Tagen zwischen Sichtung und Behebung hatte, für fünf Bugs zwischen 7 und 36 Tagen, für die anderen drei 131, 157 respektive 335 Tage. Es ist daher ohne Frage möglich, dass weitere Sicherheitslücken von dieser Person ausgenutzt worden sind, aber konkrete Anzeichen gibt es nur für diese Sicherheitslücke, die in Firefox 39.0.3 behoben worden ist.

    In der aktuellsten verfügbaren Firefox-Version sind alle Sicherheitslücken behoben, auf welche der Angreifer Zugriff hatte.

    https://blog.mozilla.org/security/2015/…y-for-bugzilla/

    Und was können wir alle daraus lernen? Was eigentlich eh klar sein sollte: man benutzt nach Möglichkeit auf jeder Webseite ein anderes Passwort!