Sicherheits - Update 50.0.1

  • Hallo,


    gestern gab es doch dieses Firefoxupdate auf die Version 50.0.1.


    Ist damit das Problem behoben wurden, was hier beschrieben wird?


    Achtung: Firefox Zero-Day-Exploit enttarnt Tor-Nutzer

    Code
    http://www.borncity.com/blog/2016/11/30/achtung-firefox-zero-day-exploit-enttarnt-tor-nutzer/
  • Das würde mich auch brennend interessieren. Zumal ich (allerdings erst ab Firefox Version 50) oft Abstürze habe, wenn ich Firefox nach langer Benutzung schließe. CrashID runter scrollen, dort ist u.a. "kernel32.dll" rot markiert.

    Hilfe auch im deutschsprachigen Matrix-Chat möglich oder im IRC-Chat
    Meine Anleitungstexte dürfen gerne "geklaut" und weiter verwendet/kopiert werden
    ;)

  • Also so wie ich das erlese, hat der Exploit nix mit dem Fix von 50.0.1 zu tun : https://www.mozilla.org/en-US/…y/advisories/mfsa2016-91/
    Allerdings reicht meine Sicherheitsstufe nicht aus, um auf den betreffenden Bug-Report zu kommen ;)

    Chromebook Lenovo IdeaPad Flex 5 - chromeOS 105 (Stable Channel) - Linux Debian Bullseye: Firefox Unstable Debian-Channel ( Sid, pending) und ESR 102.3.0 (Main Release) - Android 11: Firefox Nightly und Firefox (Main Release)

    Smartphone - Firefox Main Release, Firefox Nightly, Firefox Klar (Main Release)

  • Hilft das ?

    Zitat

    Bug 1317641 - Some loadinfo security flags should not apply in case of a redirect.
    + // The data: inheritance flags should only apply to the initial load,
    + // not to loads that it might have redirected to.

  • Zitat von Buntstift

    Ist damit das [TOR]Problem behoben wurden, was hier beschrieben wird?
    (...)


    Offenbar nicht. Schreibt zumindest stern.de und beruft sich auf arstechnica.com:


    "Eine weitere, bereits genutzte Sicherheitslücke wird von dem Update aber noch nicht geschlossen. Nutzer des Tor-Netzwerks warnen davor, dass durch Angriffe über einen bis dahin unentdeckten Fehler in Javascript die Anonymität des Netzwerkes aufgehoben wird, berichtet "Ars Technica". Mozilla ist demnach über den Fehler informiert, ein weiteres Update dürfte bald folgen."

    » SIC TRANSIT GLORIA MUNDI «

  • Jessie


    G.Born, aus dem Link von Buntstift, bezieht sich auch auf den Ars Technica Bericht ;)

    Chromebook Lenovo IdeaPad Flex 5 - chromeOS 105 (Stable Channel) - Linux Debian Bullseye: Firefox Unstable Debian-Channel ( Sid, pending) und ESR 102.3.0 (Main Release) - Android 11: Firefox Nightly und Firefox (Main Release)

    Smartphone - Firefox Main Release, Firefox Nightly, Firefox Klar (Main Release)

  • Zitat von AngelOfDarkness

    Jessie


    G.Born, aus dem Link von Buntstift, bezieht sich auch auf den Ars Technica Bericht


    Oh! :oops:


    Nojo, doppelt hält besser, hehe. :mrgreen:

    » SIC TRANSIT GLORIA MUNDI «

  • Zur weiteren Information:


    Zitat

    The exploit in this case works in essentially the same way as the “network investigative technique” used by FBI to deanonymize Tor users (as FBI described it in an affidavit). This similarity has led to speculation that this exploit was created by FBI or another law enforcement agency. As of now, we do not know whether this is the case.


    https://blog.mozilla.org/secur…-animation-vulnerability/

  • Ich habe auch gerade die Info bekommen, daß ich updaten soll. Beim Klick auf die Webseite wird jedoch gesagt "alles OK". Auch auf der Seite mit den verschiedenen Sprachen und Versionen sind alles nur 50.0.1 er verfügbar.


    Ich denke mal der Fux fragt direkt zu Hause an ob es einen neue Version gibt, aber die Webseite kommt nebst Inhalt hier im Norden der Republik noch aus irgend einem Cache.


    Morgen sehen wir weiter...


    n8, Gruß Harry

    FF aktuell, 64Bit, Linux, Manjaro mit KDE

  • Dauert immer eine Weile bis die Website auch die neueste Version verlinkt hat, und damit meine ich diese https://www.mozilla.org/en-US/…/all/?q=German%2C+Deutsch Webseite


    HT-Frogger: jetzt las ich noch einmal deinen Text durch und bin mir unsicher welche Webseite du meinst, die dir meldet, du hättest die neueste Version.
    Bedenke, dass Webseiten nur die Stelle vor dem ersten Punkt erkennen als Version, also 50.
    Alles was danach kommt wird nicht gewertet. Also ob 50.0.1 oder 50.0.2 wird beides als "aktuell" erkannt.

    Hilfe auch im deutschsprachigen Matrix-Chat möglich oder im IRC-Chat
    Meine Anleitungstexte dürfen gerne "geklaut" und weiter verwendet/kopiert werden
    ;)

  • @ Zitronella:


    Vorgestern Abend: Unter "Hilfe" - "Über Firefox" wurde gesagt da wäre ein Update (das muße dann ja 50.0.2 sein). Wenn ich dann dort auf die Updateseite geklickt habe, hat die gesagt ich habe die neueste Version. Ich kann die Updateseite ja auch von Hand aufrufen: "https://www.mozilla.org/de/firefox/new/". Unten kann man dann auf "Firefox für andere Plattformen & Sprachen" klicken und dann waren überall nur die 50.0.1 er zu bekommen. Insofern denke ich daß die komplette Webseite noch aus irgend einem Cache kam. Nur die Abfrage selbst ging wohl ohne Cache und war deshalb schneller...


    Gestern war das Update aber da, heruntergeladen und installiert (na ja, ist ja händisch unter Linux nur auspacken ins richtige Verzeichnis) - alles OK.


    Gruß Harry


    PS: Der Cache kann ja auch je nach Provider unterschiedlich sein, ich bin bei O2.

    FF aktuell, 64Bit, Linux, Manjaro mit KDE