Exploit für Firefox 1.5 aufgetaucht

  • 08.12.2005

    Exploit für Firefox 1.5 aufgetaucht

    Bei den Sicherheitsexperten von Packet Storm wird von einem Exploit für den neuen Firefox 1.5 berichtet, der gestern veröffentlicht wurde, durch den über eine simple Webseite ein Pufferüberlauf zum Absturz des Browsers führen kann.

    Das Problem liegt in der Datei "history.dat", die Firefox anlegt, um dort verschiedene URL-Daten zu speichern. Der Exploit legt einen sehr grossen Eintrag an, den Firefox dann in der Datei speichert. Der Browser stürzt dann beim nächsten Start ab und verhält sich weiterhin so, bis die erwähnte Datei gelöscht wurde.

    Der Autor des Exploits weist darauf hin, dass es dem Durchschnittsbenutzer eventuell schwerfallen könnte, diese Methode zur Umgehung des Problems zu entdecken. Um die Datei zu löschen, falls das Problem auftritt, durchsucht man am besten den Computer danach und schliesst dabei die Systemordner und versteckten Elemente mit ein.

    Derzeit gibt es von Mozilla noch keinen Patch für das Problem. Nach einigen Änderungen an dem Exploit könnte man auch Code ausführen lassen.

    pers. anmerkung:
    Ich möchte nicht das verschiedene URL-Daten gespeichert werden!

  • Zitat von stif

    pers. anmerkung:
    Ich möchte nicht das verschiedene URL-Daten gespeichert werden!

    Dann setzt doch einfach die Chronik/History auf 0 Tage ...

    ...:AOD:...

    Chromebook Lenovo IdeaPad Flex 5 - chromeOS 122 (Stable Channel) - Linux Debian Bookworm: Firefox ESR 115.8.0 und Firefox Nightly, Beta und Main Release (Mozilla PPA), Android 13: Firefox Nightly und Firefox (Main Release)

    Smartphone - Firefox Main Release, Firefox Nightly, Firefox Klar (Main Release)

  • Wer so pingelig ist , der muss eben Abstriche machen :)

    Alernativ gibt es ja auch die Sanitize-Funktion

    ...:AOD:...

    Chromebook Lenovo IdeaPad Flex 5 - chromeOS 122 (Stable Channel) - Linux Debian Bookworm: Firefox ESR 115.8.0 und Firefox Nightly, Beta und Main Release (Mozilla PPA), Android 13: Firefox Nightly und Firefox (Main Release)

    Smartphone - Firefox Main Release, Firefox Nightly, Firefox Klar (Main Release)

  • Zitat von stif


    Exploit für Firefox 1.5 aufgetaucht

    Bei den Sicherheitsexperten von Packet Storm wird von einem Exploit für den neuen Firefox 1.5 berichtet, der gestern veröffentlicht wurde, durch den über eine simple Webseite ein Pufferüberlauf zum Absturz des Browsers führen kann.

    Hm, habs grad mal getestet und bei mir schmiert er nicht ab. Er legt beim nächsten Start ne Gedenkminute ein, aber dann kann man ihn ganz normal benutzen - also auch problemlos die History übers Menü löschen.

  • bin lediglich ein duchschnittlicher firefox-user und ich kenne diese "Sanitize-Funktion" nicht.

    wie behebt man denn jetzt dieses sicherheits-loch?


    bitte um anständigen support hier - nicht irgendwelche zynischen comments von spammern!

  • Unter Extras gibt es die Funktion Private Daten löschen

    Dort kannst du angeben, was der Firefox für dich löschen soll.
    Ebenso das er dieses beim Beenden automatisch macht.

    Desweiteren gilt für Firefox wie für jedes andere gute Programm :

    Geholfen wird ihnen auch bei drück auf F1, denn dort erscheint die
    Firefox-Hilfe :)

    ...:AOD:...

    Chromebook Lenovo IdeaPad Flex 5 - chromeOS 122 (Stable Channel) - Linux Debian Bookworm: Firefox ESR 115.8.0 und Firefox Nightly, Beta und Main Release (Mozilla PPA), Android 13: Firefox Nightly und Firefox (Main Release)

    Smartphone - Firefox Main Release, Firefox Nightly, Firefox Klar (Main Release)

  • Habe mal eben bei bugzilla reingeschaut ...

    Dieses Verhalten ist bereits bekannt.

    Zitat

    overlong document.title setting can corrupt history data, hanging/crashing on subsequent startups

    Bug#3190004

    ist als kritisch eingestuft und betrifft wohl hauptsächlich Trunks

    ...:AOD:...

    Chromebook Lenovo IdeaPad Flex 5 - chromeOS 122 (Stable Channel) - Linux Debian Bookworm: Firefox ESR 115.8.0 und Firefox Nightly, Beta und Main Release (Mozilla PPA), Android 13: Firefox Nightly und Firefox (Main Release)

    Smartphone - Firefox Main Release, Firefox Nightly, Firefox Klar (Main Release)

  • Ne weitere Möglichkeit wäre es, mit NoScript Javascript nur auf vertrauenswürdigen Seiten zu aktivieren. Dann kommt es erst garnicht zum Verwurschteln der history.dat ....

    Zudem.... ich bezeifle ernsthaft, dass dieser Bug von irgendwem aktiv ausgenutzt werden wird. Und damit ist die "Bedrohung" rein theoretischer Natur. Aber wer auf Nummer sicher gehen will.... ; )

  • Hilfeeeeee!!!! :shock::shock::shock:

    Ohgott, da muß ich gleich wieder auf die gewohnt professionelle und sichere Surf-Software des Marktführers Microsoft umsteigen 8)

    PS: Falls es einer nicht bemerken sollte: IRONIE! ;)

    Aloha, Uli

    Seit 102.0 wieder mit dem jeweils neuesten 64bit-Fx von tete009 unterwegs.

  • Zitat von Dr. Evil

    Mozilla/5.0 (Windows; U; Windows NT 5.1; de-DE; rv:1.8) Gecko/20051208 Firefox/1.5 ID:2005120803

    [offtopic]
    Dr. Evil: Zwischenfrage: de-DE;? Müßte das nicht nur de; sein?
    [/offtopic]

    Aloha, Uli

    Seit 102.0 wieder mit dem jeweils neuesten 64bit-Fx von tete009 unterwegs.