Der beliebte Browser unter Beschuss

    Zitat

    Mitte Juni war die lang ersehnte dritte Version des Open-Source Browsers Firefox endlich fertig. Knapp 10 Millionen Mal wurde der Platzhirsch von Mozilla am Tag der Veröffentlichung heruntergeladen. Ein Ergebnis, mit dem die Mozilla Cooperation äußerst zufrieden war. Allerdings wurde die angeheiterte Stimmung schon wenige Tage nach dem offiziellen Release getrübt. Die drei entdeckten gefährlichen Programmfehler konnten mit dem Firefox 3.0.1 Update behoben werden. Nun ist es einer Gruppe von IT-Sicherheitsexperten gelungen, eine weitere kritische Lücke ausfindig zu machen. Ein Angreifer könnte damit eine DoS-Attacke (Denial of Service) in Richtung des Browser-Benutzers senden.

    Quelle: http://www.gulli.com/news/firefox-d…bte-2008-07-30/

    Zitat

    Radware bietet für solch brisante Fälle eine eigene Sicherheitsdienstleistung an. Mit dem Radware Security Update Service (SUS) lässt sich das Problem kurzer Hand beheben und es soll danach keine weitere Gefahr mehr für den Verbraucher bestehen.

    Ein Schelm, wer arges dabei denkt... :twisted:
    Finden eine Sicherheitslücke und bieten prompt eine kommerzielle Lösung an.

    Zitat von Panther1

    Ich würde nichts drum geben was die Seite "gulli.com" da schreibt, denn diese gehört selber nur zur einer ganz harten Szene.. :wink:

    Die machen gute Arbeit da bei Gulli, lass die mal.

    Mich ärgerts, das die "Profis", die sowas entdecken damit an die
    Öffentlichkeit gehen, anstatt den Hersteller zu kontaktieren, der Abhilfe schaffen kann.
    Dann kann man immer noch die Früchte ernten.

    Zitat von Boersenfeger

    Mich ärgerts, das die "Profis", die sowas entdecken damit an die
    Öffentlichkeit gehen, anstatt den Hersteller zu kontaktieren, der Abhilfe schaffen kann.


    Firefox ist Open Source, wenn du da einen Bug entdeckst und ihn dem "Hersteller" lieferst erfährts immer auch der Rest der Welt.

    Mozilla/5.0 (X11; U; Linux x86_64; de-DE; rv:1.9.1.1) Gecko/20090702 Firefox/3.5

    Zitat von DasIch

    Firefox ist Open Source, wenn du da einen Bug entdeckst und ihn dem "Hersteller" lieferst erfährts immer auch der Rest der Welt.

    Falsch. Sicherheitskritische Bugs werden entsprechend geflaggt, so dass nur ausgewählte Personen diese einsehen können. Diese Flags werden entweder erst nach x Tagen nach einem Firefox Update mit dem jeweils enthaltenden Bugfix entfernt oder nachdem das Sicherheitsproblem öffentlich wurde (z.B. mittels Exploit).

    Des weiteren lese man http://weblogs.mozillazine.org/asa/archives/2…re_wants_t.html.

    Womit mal wieder bestätigt wäre das nicht so heiß gegessen wird wie es gekocht wird.

    Ich bleibe bei der Sicherheitseinschätzung von Secunia, die haben solche Sperenzchen nicht nötig.

    Mozilla Firefox 3.0.1:

    Affected By 3 Secunia advisories

    Unpatched 0% (0 of 3 Secunia advisories)

    Most Critical Unpatched
    There are no unpatched Secunia advisories affecting this product, when all vendor patches are applied.

    Microsoft Internet Explorer 7:

    Affected By 29 Secunia advisories

    Unpatched 34% (10 of 29 Secunia advisories)

    Most Critical Unpatched
    The most severe unpatched Secunia advisory affecting Microsoft Internet Explorer 7.x, with all vendor patches applied, is rated Moderately critical

    Opera 9.5:

    Affected By 16 Secunia advisories

    Unpatched 0% (0 of 16 Secunia advisories)

    Most Critical Unpatched
    There are no unpatched Secunia advisories affecting this product, when all vendor patches are applied.

    Kann sich jeder gerne auf Secunia selber nachlesen. Wobei der Vergleich zwischen Firefox, Opera und dem IE ein wenig hinkt. Letzterer ist schon deutlich länger auf dem Markt. Vergleiche kann man wirklich erst anstellen wenn Opera 9.x und Firefox 3.0.x ähnlich lange auf dem Martk sind wie derzeit IE7, bis dahin dürfte sicher noch so manche Sicherheitslücke entdeckt werden.

    Das ist ne DOS-Schwachstelle. Klar klingt das für den Laien ernsthaft, aber letztlich schmiert dir halt der Browser ab. Mehr nicht.

    Vor ein paar Tagen hatten wir doch den Thread mit den rekursiven Frames. Das ist auch DOS - auf dem Niveau bewegen die sich damit.

    Zu Secunia:
    Die führen auch nur das in ihrer Statistik, das ihnen gemeldet wurde bzw. zu dem sie eine Meldung rausgeben. Das erhebt keinen Anspruch auf Vollständigkeit.

    Zitat von Simon1983


    Kann sich jeder gerne auf Secunia selber nachlesen. Wobei der Vergleich zwischen Firefox, Opera und dem IE ein wenig hinkt. Letzterer ist schon deutlich länger auf dem Markt. Vergleiche kann man wirklich erst anstellen wenn Opera 9.x und Firefox 3.0.x ähnlich lange auf dem Martk sind wie derzeit IE7, bis dahin dürfte sicher noch so manche Sicherheitslücke entdeckt werden.


    Falsch. Die Statistik für Opera gilt seit dem Release von 9.00, und das war vier Monate vor dem Release von IE 7.

    Quis custodit custodes?

    boardraider stellte Folgendes dar:

    Zitat

    Das ist `ne DOS-Schwachstelle. Klar klingt das für den Laien ernsthaft, aber letztlich schmiert dir halt der Browser ab. Mehr nicht.


    Da sei Dir mal nicht ganz so sicher [...] Die sog. "Null Pointer Dereference" (Verweisung auf "Abwesenheit" von Daten (=Null)) könnte den FF - meiner Meinung nach - zwar ohne weitere Konsequenzen zum kontrollierten Absturz bringen - doch was passiert mit all den integrierten FF-Erweiterungen - u.A. auch auf Basis der immer noch vorhandenen IE-Verfügungen, bzw. der "Schnittstellen", die der FF zum IE hingegen verlängern muss?


    Simon1983 schrieb:

    Zitat

    [...]Womit mal wieder bestätigt wäre, dass nicht(s) so heiß gegessen wird, wie es gekocht wird.


    Im professionellen Einsatz, einer wie auch immer gearteten Software, sollte bereits schon das Rezept vor dem Verwerten sehr genau beobachtet werden, da Du sonst u.U. "durch Dritte" manipulierbar wärest... ;)


    https://bugzilla.mozilla.org/show_bug.cgi?id=358797


    Oliver