heise: Fehler in Firefox gefährdet Systemstabilität

    Zitat

    Ein Problem mit der aktuellen und früheren Version von Firefox macht derzeit von sich reden. Zahlreiche Verweise von Image-Source-Tags auf eine mailto-URI veranlassen das System, die mit Mail verknüpfte Anwendung beim Besuch einer Webseite ohne Nutzerinteraktion zu öffnen. Normalerweise sollte <img> einen Pfad zu einem Bild enthalten – eine mailto: hat dort eigentlich nichts zu suchen.

    http://www.heise.de/security/news/meldung/73109

    Ich finde den Bugzilla-Bug nicht und weiß deshalb nicht wann genau der Bug behoben wurde. Ich halte es eigentlich für unwahrscheinlich, dass Fx2 noch betroffen sein wird. Dann können auch die Endnutzer zufrieden sein.

    Außerdem ist das ja keine Sicherheitslücke, sondern nur Benutzergenerve, das man auch mit 100 Alert-Fenstern oder 100 Öffnungen der Javascript-Konsole erreichen kann.

    Zitat von JonHa


    Außerdem ist das ja keine Sicherheitslücke, sondern nur Benutzergenerve, das man auch mit 100 Alert-Fenstern oder 100 Öffnungen der Javascript-Konsole erreichen kann.

    Zitat

    Unter Umständen wird das System dadurch unbenutzbar.

    ...steht in dem heise Artikel. Darum.

    Der Fehler existiert eigentlich schon seit 2003 wenn man die bug meldung sieht und ist nicht kritisch ausser das Fx abstürzen kann.
    Es gibt aber für User, die Angst vor diesen Bug haben, eine Möglichkeit diesen Bug zu "umgehen"!

    1. "about:config" in der Adresszeile eingeben
    2. sich die Option "network.protocol-handler.warn-external.mailto" suchen
    3. diese auf "true" setzen

    Dann wird man jedesmal gewarnt wenn man einen mailto link anclickt
    und kann spätestens beim 2ten "mailto-popup" durch cancel/abbrechen diesen Bug verhindern.
    Dadurch beendet man dieses Problem!
    :D

    MfG Carsten

    EDIT: :( sehe gerade das das abschalten ja auch im heise artikel drin steht...dann is dieser thread doch eigentlich purer spam....

    Zitat von dzweitausend

    Der Fehler existiert eigentlich schon seit 2003 wenn man die bug meldung sieht und ist nicht kritisch ausser das Fx abstürzen kann.


    Nunja, wenn laut heise das System unbenutzbar werden kann, ist das schon ein bisschen mehr, als dass Fx abstürzt.

    Quis custodit custodes?

    Zitat

    Ein bereits kursierender Exploit macht genau dies und ruft das Tag per JavaScript gleich 100-mal auf, sodass sich ebenso viele Thunderbird- oder Outlook-Fensterchen öffnen. Dass dies das System aus dem Tritt bringen kann, liegt nahe. Unter Umständen wird das System dadurch unbenutzbar. Bei einem Test der heise-Security-Redaktion verabschiedete sich allerdings nur Thunderbird nach dem hundertsten Fenster mit einer Fehlermeldung – der Windows-XP-PC mit nur 256 MByte Speicher lief anschließend stabil weiter.

    Ok
    :)
    Dann mal anders, damits jeder versteht was ich meine...

    unter Umständen verabschiedet sich mein Firefox wenn ich gegen den PC trete.
    unter Umständen verabschiedet sich mein Firefox wenn ich am Sicherungskasten der Wohnung schraube.
    unter Umständen verabschiedet sich mein Firefox wenn mein Sohn(14 Monate alt) am PC sitzt.
    unter Umständen ist nichts sicher an Daten mit Firefox, da PC am Internet angeschlossen ist.
    unter Umständen ist alles Möglich.

    :twisted:

    Ist diese Eintrag network.protocol-handler.warn-external.mailto eigentlich Standartmässig vorhanden?
    Bei mir war er es, bei jemand anderem aber angeblich nicht!
    Und in der About MozillaZine Knowledge Base gibt es den Eintrag auch nicht.
    Sind die Einträge in der Knowledge Base grundsätzlich alle Einträge, die in einem normalen Fx vorhanden sind (also ohne spezielle Erweiterungseinträge)?

    Hi Leutz,

    Zitat von Wurstwasser

    Und in der About MozillaZine Knowledge Base gibt es den Eintrag auch nicht.

    In der MozillaZine Knowledge Base wird die Einstellung als network.protocol-handler.warn-external.(protocol) aufgeführt, wobei (protocol) eben für die verschiedenen Protokolle steht. Was ist mit Protokoll gemeint, wird etwas deutlicher, wenn man sich den Aufbau einer Uniform Resource Identifier (URI) anschaut ( Wikipedia: Aufbau einer URI (Link)). Dabei entspricht <Schema> dem, was bei der Einstellung mit (protocol) gemeint ist.

    Zitat von Wurstwasser

    Ist diese Eintrag network.protocol-handler.warn-external.mailto eigentlich Standartmässig vorhanden?
    Bei mir war er es, bei jemand anderem aber angeblich nicht!

    Das wird im Wesentlichen davon abhängen, ob entsprechendes Protokoll in deinem System bekannt ist. Bei Windows sind die irgendwo in der Registry aufgeführt und werden z.T. durch Programme eingetragen. Ein Beispiel findest du im Thread ed2k links mit emule öffnen (Link). Das ed2k:-Protokoll kennt Windows auch erst nach der Installation von beispielsweise eMule :wink: . Ausserdem werden aunter about:config nicht alle Einstellungen angezeigt. Manche Einstellungen, deren Wert von keiner Erweiterung oder nicht manuell durch den Anwender geändert wurden, "wirken" dennoch mit ihrem Standardwert, werden aber nicht aufgeführt. Warum das so ist, kann ich dir leider auch nicht sagen.

    Zitat von Wurstwasser

    Sind die Einträge in der Knowledge Base grundsätzlich alle Einträge, die in einem normalen Fx vorhanden sind (also ohne spezielle Erweiterungseinträge)?

    Davon würde ich nicht unbedingt ausgehen. MozillaZine Knowledge Base ist zunächst einaml nichts weiter als ein Wiki (siehe MozillaZine Knowledge Base:About (Link)) von MozillaZine. Und MozillaZine ist nach eigenen Angaben ( siehe MozillaZine: about (Link)) (hier auszugsweise):

    Zitat

    MozillaZine is not run by the Mozilla Foundation and is not an official part of the Mozilla project.

    Have fun,
    NightHawk

    Zitat von dzweitausend


    Lese mal die heise Meldung.
    Was steht da?
    ...
    :roll:


    Das, was ich geschrieben habe.

    Alle Fehler des IE treten übrigens auch nur unter Umständen auf.

    Quis custodit custodes?