kritische sicherheitslücke in firefox 1.0.3

  • Naja. Ich meine das ist doch schon etwas - alle größeren Erweiterungsseiten werden wahrscheinlich das installscript ändern oder updaten falls sie das oder ein ähnliches von Mozilla verwenden - damit ist es für die Cracker schwer irgendwelche Seiten zu finden, bei denen massenhaft Leute ihre Freigaben verteilt haben. Ergo müsste man den Nutzer erst dazu bringen Freigaben für eine bestimmte Seite zu machen - und da hat mans dann leichter wenn man einfach eine Extension mit Schadcode schreibt und den user dazu brignt diese zu installieren.
    Auch wenn ich jetzt nicht 100%ig sicher bin und es immer noch die Möglichkeit gibt, dass eine Seite die ich freigegeben habe, die ein install script verwendet und die der Cracker kennt. Solange es nicht solche großen Seiten sind wie extensionsmirror.nl oder erweiterungen.de (solltet ihr auch unbedingt ändern!) dann wird sich der Aufwand wohl kaum lohnen - und die Entwickler werden sicher 1.0.4 recht schnell rausbringen :)

    Was lernen wir daraus? Das Sicherheitslücken und Sicherheit 2 Paar Schuhe sind. Während ersteres durchaus von der Verbreitung abhängen kann (aber nicht muss) ist letzteres eher vom Konzept abhängig - und vom Enthusiasmus der Entwickler.
    Grüße

  • Zitat von Amsterdammer

    stuss :(

    Man sollte auch nicht

    Code
    body[id="www-spiegel-de"]{direction:extremeMirror}


    in die "userContent.css" eintragen.

    Stuss ist Gruß mit "doppel-s".

    Am Rande:
    Ich habe meine Antwort übrigens ernst gemeint.

    "Wohin" muss/soll ich surfen und wie dumm muss/soll ich sein, um
    auf Seite "xyz" auf einen blöden Link zu klicken?

  • Zitat von xeen

    Solange es nicht solche großen Seiten sind wie ... erweiterungen.de (solltet ihr auch unbedingt ändern!)


    Ich konnte das über die JavaScript install()-Funktion bei uns bisher noch nicht reproduzieren (iconURL ist auch konstant). Wenn da wer mehr weiß, der möge sich doch bitte bei mir melden.

  • xeen

    deine ausführungen haben meine volle zustimmung. in diesem zusammenhang sollte nicht unerwähnt bleiben, dass letztendlich zur erfolgreichen ausführung der exploits lokale adminrechte notwendig sind. an diesen "beispielen" wird immer wieder klar, das sicherheit nicht auf eine einzelne komponente (browser), sondern auf das gesamte konzept zu beziehen ist. ich ziehe wieder den hut vor der unglaublichen reaktionsgeschwindigkeit seitens mozilla - und wie xeen schon bemerkte,
    "... die Entwickler werden sicher 1.0.4 recht schnell rausbringen"

    viele grüße

    Firefox/2.0.0.5, WinXP prof SP2

    "information is not knowledge. knowledge is not wisdom. wisdom is not truth. truth is not beauty. beauty is not love. love is not music. Music is THE BEST..." FZ

  • heute nacht ist ein patch für das neuerliche sicherheitsproblem im FF veröffentlicht worden für die Tester.
    Wenn dieses build die tests besteht, dauert es mit der veröffentlichung der offiziellen version FF 1.0.4 für alle user nicht mehr so lang.
    wer testen will, weiss wo er das build kriegt (/nightly/2005-05-09-21-aviary1.0.1)

    so schnell geht das also mit dem patch bei mozilla !

    gruss :D

    edit: ersetzt durch /nightly/2005-05-10-22-aviary1.0.1

    "Krieg ist ein zu ernstes Geschäft, als daß man ihn den Generälen überlassen dürfte." Georges B. Clemenceau (1841-1929), Französischer Journalist und Politiker/Ministerpäsident

  • alles ganz schick .....

    am besten wohl Javascript deaktivieren und auf die 1.04 Version warten/ hoffen. Bzw. nur auf den bekannten/guten Seiten aktiviert lassen. (Dank prefbar kein großes Problem)!!!!!!


    Übrigens - habe heute einen anderen SicherheitsTest mit meiner gegenwärtigen 1.03 Version gemacht - tja, Test leider nicht bestanden. (JavaScript konnte mir den Text-Inhalt auslesen)

    :(

    http://www.heise.de/security/diens…/mozdemo1.shtml

    find ich heftig - hoffe, das dieser Makel auch bald beseitigt wird.

  • Ich glaube dieser Fehler wurde behoben, JavaScript lokal geht, aber es darf auch nur loakl agieren, d.h. wenns Sachen ins Internet senden will hat's glaub ich Pech gehabt, bin mir aber nicht sicher.

  • alfablot

    das wurde hier doch schon "durchgekaut". ob der test als nicht bestanden deklariert werden kann, muss jeder selbst entscheiden. der punkt dabei ist doch, dass dieser "test" nicht ohne interaktion des users (bestätigung auswahl) funktioniert - oder eben untersagt wird. d.h., es passiert nichts ohne zustimmung.

    viele grüße

    Firefox/2.0.0.5, WinXP prof SP2

    "information is not knowledge. knowledge is not wisdom. wisdom is not truth. truth is not beauty. beauty is not love. love is not music. Music is THE BEST..." FZ

  • . . . und schon steht v 1.0.4 (eng) zum download bereit :lol:

    so mag ich secunia/firefox am liebsten:
    http://secunia.com/product/4227/

    viele grüße

    Firefox/2.0.0.5, WinXP prof SP2

    "information is not knowledge. knowledge is not wisdom. wisdom is not truth. truth is not beauty. beauty is not love. love is not music. Music is THE BEST..." FZ

  • ... na, weil um 9.41 uhr nur der englische bereit stand - schnelligkeit ist tatsächlich keine hexerei :wink:

    Firefox/2.0.0.5, WinXP prof SP2

    "information is not knowledge. knowledge is not wisdom. wisdom is not truth. truth is not beauty. beauty is not love. love is not music. Music is THE BEST..." FZ

  • Hatt ich vorhin probiert, da kam ein URL-Fehler... Aber nur bei der WIndows-Version...

    Grade eben gings!! ;)

    ______________
    carpe diem!
    /CT
    [allmost offline]
    WinXP SP2, Ubuntu 7.10, Fx, BBCodeXtra, Tab Mix Plus, All-in-One Gestures, Sage

  • das durcheinander mit den mirrors -mahl geht's, mal geht's nicht- ist standard an einem updatetag :roll:

    gruss

    "Krieg ist ein zu ernstes Geschäft, als daß man ihn den Generälen überlassen dürfte." Georges B. Clemenceau (1841-1929), Französischer Journalist und Politiker/Ministerpäsident