"Firefox Multiple Vulnerabilities"

  • Aber 1.0.5 ist schon Realesed. Tja da haben sie den Fehler nach Mozilla gefunden.

    Mozilla/5.0 (X11; U; Linux x86_64; de-DE; rv:1.9.1.1) Gecko/20090702 Firefox/3.5

  • Zitat von DasIch

    Aber 1.0.5 ist schon Realesed. Tja da haben sie den Fehler nach Mozilla gefunden.


    Nein, die News solange zurückgehalten, bis der Fix dazu da ist ;)

    Aloha, Uli

    Seit 102.0 wieder mit dem jeweils neuesten 64bit-Fx von tete009 unterwegs.

  • Zitat von DasIch

    Aber 1.0.5 ist schon Realesed. Tja da haben sie den Fehler nach Mozilla gefunden.

    Schonmal dran gedacht, dass da Hand in Hand gearbeitet wird? Secunia darf den Bug veröffentlichen, aber erst wenn dieser gefixed ist. Somit gibt es sehr wenig Zeit für Bösewichte, Exploits zu programmieren und diese zu streuen, da ja jeder ein lückenloses System haben kann... :!: Eine Verbreitung bedingt durch diese Sicherheitslücke ist also relativ unwahrscheinlich, sollte es doch gelingen, dann nicht in dem erwarteten Ausmass ohne Security Patch ;)

    [EDIT]..zu spät, hatte aber auch mehr Text! ;) [EDIT]

    ______________
    carpe diem!
    /CT
    [allmost offline]
    WinXP SP2, Ubuntu 7.10, Fx, BBCodeXtra, Tab Mix Plus, All-in-One Gestures, Sage

  • CharlysTante / UliBär: Hm, warum gibt es dann überhaupt noch Security-Meldungen?

    Und nebenbei, wenn die Meldungen schon vorher kämen, fände ich das besser. Wer sagt denn, dass nicht jemand anders auch diese Lücke bemerkt und die dann besser ausnutzen kann?

    Quis custodit custodes?

  • Zitat von wupperbayer

    CharlysTante / UliBär: Hm, warum gibt es dann überhaupt noch Security-Meldungen?

    Und nebenbei, wenn die Meldungen schon vorher kämen, fände ich das besser. Wer sagt denn, dass nicht jemand anders auch diese Lücke bemerkt und die dann besser ausnutzen kann?

    Die Erfolgsquote wäre in diesem Fall sicher höher, sollten Hacker dies sofort ausnutzen. Die Welt ist nunmal schlecht. Deshlab gilt es die Unbedarften und Unschuldigen zu schützen. Wenn EINER das ausnutzt, muss es nicht die gleiche Wirkung haben, wie wenn dutzende unterschiedliche Exploits ins Web werfen und per Mail verschicken...

    ______________
    carpe diem!
    /CT
    [allmost offline]
    WinXP SP2, Ubuntu 7.10, Fx, BBCodeXtra, Tab Mix Plus, All-in-One Gestures, Sage

  • Nun ja, man muss ja nicht direkt nen Exploit bereitstellen, es reicht doch, zu sagen, es funktioniert. Und den Entwicklern kann man dann ja gerne so einen Exploit zusenden.

    Quis custodit custodes?

  • Das ist illegal und kann straftrechtlich verfolgt werden. Der Urheber der Software, in der eine Lücke entdeckt wurde, ist immer vorher in Kenntnis zu setzen und bzgl. Veröffentlichung zu fragen..

    Wer sagt denn, ob eine entdeckte Sicherheitslücke wirklich mit einem bestimmten Produkt zusammenhängt? Oft gibt es Wechselwirkungen, wie auch bei dem Bug mit den riesigen Images. Schuld ist hier wohl Windows, der Fx verursacht durchs Anzeigen aber den BlueScreen.

    ______________
    carpe diem!
    /CT
    [allmost offline]
    WinXP SP2, Ubuntu 7.10, Fx, BBCodeXtra, Tab Mix Plus, All-in-One Gestures, Sage

  • 1) es gibt irgendwo eine Schwachstelle
    (z.B.: Bug 289940 und Bug 294323 (;))
    http://www.mozilla.org/security/announce/mfsa2005-45.html )

    2a) Der Bug wird gemeldet und gleich an die große Glocke gehängt.
    - Die Entwickler stehen unter Druck (schlechte "Fix-Qualität")
    - Es dauert immer ein wenig, bis der Bug gefixt wird
    - währenddessen "Exploits" überall (z.B.: auf http://www.spiegel.de ;) )

    2b) Der Bug wird gemeldet und NICHT gleich an die große Glocke gehängt.
    - keiner merkt es (wie mit Bug 289940 geschehen)
    - der Bug wird "ordnungsgemäß" gefixt
    - keine "Exploits"

  • Also so nach dem Motto: "Was der Kunde nicht weiß, macht ihn nicht heiß".

    Also alles schön verdeckt halten und eine Informationspolitik betreiben, die den Namen nicht verdient? Sorry, das erinnert mich irgendwie an eine große amerikanische Software-Firma.

    Wie war das nochmal? Der große Vorteil von OSS wäre es, dass der Quellcode ja offen sei und so Schwachstellen schnell gefunden werden? Aha.

    Ich will mich hier ja nicht nur auf FF einschießen, denn Opera hat das bei den um die fünf Sicherheitslücken, die in 8.00 noch existierten, genauso gemacht. Ich finde das nur einfach blöd, so zu tun, als gäbe es die Lücken nicht. Und meine Frage ist immer noch nicht beantwortet: Wieso gibt es dann überhaupt noch Exploits?

    Quis custodit custodes?

  • Zitat von wupperbayer

    Also so nach dem Motto: "Was der Kunde nicht weiß, macht ihn nicht heiß".


    So war es immer (auch im Mittelalter), so wird es bleiben.

    Zitat von wupperbayer


    Also alles schön verdeckt halten und eine Informationspolitik betreiben, die den Namen nicht verdient? Sorry, das erinnert mich irgendwie an eine große amerikanische Software-Firma.


    Wenn die "große Firma" nicht so vorginge, hättest DU schon lange
    deine Netzwerkkarte ausgebaut.

    Ich weiß jetzt nicht, wie die "große Firma" denn so vorgeht, aber werden Exploits
    denn nach dem Fix durch die "große Firma" veröffentlicht?

  • Letztendlich muss man sagen das, das Verhalten von Mozilla insofern gut ist das sie den Kunden schützen.
    Microsoft hingegen verbietet das veröffentlichen von Bugs und bietet keine Updates an.
    Letztendlich veröffnetlicht irgendwer den Bug und was passiert?
    Microsoft steht einen Monat später mit nem Update da.
    Doch inzwischen ist ein weitere Bug bekannt :roll:

    Mozilla/5.0 (X11; U; Linux x86_64; de-DE; rv:1.9.1.1) Gecko/20090702 Firefox/3.5

  • hi leute,

    so richtig kann ich die debatte nicht nachvollziehen. wo ist eigentlich das "große" problem ? dass entwickler auch selbst probleme erkennen, sollte klar sein - und das diese nicht umgehend public gemacht werden, auch (oder nicht ?). entscheidend ist, dass schnell darauf reagiert wird (z.b. mit einem update). das übrige besorgen weitestgehend unabhängige firmen, communities oder privatleute - ein grund zur freude für uns als user.

    ein "handshake" zwischen secunia und mozilla kann ich mir beim besten willen nicht vorstellen, wird CharlysTante auch nicht ganz so ernst gemeint haben.

    viele grüße

    Firefox/2.0.0.5, WinXP prof SP2

    "information is not knowledge. knowledge is not wisdom. wisdom is not truth. truth is not beauty. beauty is not love. love is not music. Music is THE BEST..." FZ

  • Mozilla hat eine Sicherheitspolitik definiert und veröffentlicht:
    http://www.mozilla.org/projects/secur…ugs-policy.html

    Danach wird abgewogen, ob es sinnvoller ist, Verwundbarkeiten zu veröffentlichen (um Benutzern die Möglickeit zu geben, sich durch geeignetes Verhalten zu schützen) oder die Lücke vertraulich zu behandeln (um ein ausnutzen nicht zu provozieren).

    Jede andere Vorgehensweise wäre auch unvernünftig.

    Alexander

    MS Windows XP Home Edition Version 5.1 (Build 2600.xpsp2_gdr.050301-1519: Service Pack 2
    Mozilla/5.0 (Windows; U; Windows NT 5.1; de; rv:1.8.1.1) Gecko/20061204 Firefox/2.0.0.1
    Erweiterungen, Themes, Plugins

  • Zitat von Alexxander

    Mozilla hat eine Sicherheitspolitik definiert und veröffentlicht:
    http://www.mozilla.org/projects/secur…ugs-policy.html

    Danach wird abgewogen, ob es sinnvoller ist, Verwundbarkeiten zu veröffentlichen (um Benutzern die Möglickeit zu geben, sich durch geeignetes Verhalten zu schützen) oder die Lücke vertraulich zu behandeln (um ein ausnutzen nicht zu provozieren).

    Jede andere Vorgehensweise wäre auch unvernünftig.

    Alexander

    Ja toll, seit mehr als 48 Stunden liegen die localen Sprachversionen auf dem Server von Mozilla QA "ready for staging", aber Mozilla QA gibts sie noch nicht frei.

    Das ist wieder typisch amerikanisch: "unsere" Version FF 1.0.5 en-US ist veröffentlicht, glz. werden die known vulnerabilities bekannt gemacht, und der Rest der Welt darf warten, mittlerweile nun mehr dan 48 Stunden, bis alle artig die Hausaufgaben gemacht haben :evil:

    Warum werden die funktionierenden Versionen wie z.B. de-De von Abdulkadir Topal (siehe Signatur) nicht freigegeben, sondern wird gewartet, bis alle Übersetzter fertig sind?

    Wenn Sicherheitskonzept, dann bitteschön warten, bis auch alle fertig sind, und dann bitte ein "global release", aber nicht egoistisch mit en-US vorpreschen, Sicherheitslücken schliessen, und der Rest der Welt muss sehen wo er bleibt!

    Wie ich diese Arroganz hasse an den Amis, Grrrrrrrrrr :evil:

    "Krieg ist ein zu ernstes Geschäft, als daß man ihn den Generälen überlassen dürfte." Georges B. Clemenceau (1841-1929), Französischer Journalist und Politiker/Ministerpäsident

  • Zitat von Amsterdammer

    Wie ich diese Arroganz hasse an den Amis, Grrrrrrrrrr :evil:


    Du scheinst aber echt nicht viel für das Mozilla-Team übrig zu haben. Giftest gegen die bei jeder sich bietenden Gelegenheit... oder kommt mir das nur so vor? ; )