Secunia

Global Associate

Aha :shock:

Cosmo

War da nicht gerade erst jemand, der noch den Firefox 1.5 einsetzt? Von den Leuten, die sich an dieses oder jenes nicht gewöhnen zu können behaupten, was nach 2.0 geändert worden ist, ganz zu schweigen.

Das ganze macht einmal mehr deutlich, daß wer veraltete, sicherheitsrelevante Software einsetzt, insbesondere Windows, das nicht auf dem letzt verfügbaren Stand gepatcht ist, einsetzt oder andere als die zuletzt veröffentlichten Versionen von Browsern, Plugins (nicht nur, aber insbesondere Flash und Java) verwendet, der verfügt über ein System, bei dem die Annahme, daß es nicht kompromittiert ist so fraglich und unbegründet ist wie ein Lotto-Treffer. Fehlverhalten auf solchen Systemen ist dann letztlich durch den Versuch von Analysen nur noch spekulativ aufzuklären.

Brummelchen · laaaangweiliiiiiig Zitat Affected Software * Mozilla Firefox 3.0.15 and 3.5.4.

laaaangweiliiiiiig

Zitat

Affected Software
* Mozilla Firefox 3.0.15 and 3.5.4.

Cosmo

Kann ich nicht teilen.

Erstens, weil regelmäßig Leute, die aus diesem oder jenem Grund auf eine Version der Reihen 3.0 oder 3.5 zurückgehen eben irgend eine Subversion nehmen (vermutlich, weil da gerade irgend ein Installer auf der Festplatte herum lag) und nicht die jeweils aktuellste Subversion. Der Bericht macht deutlich, wohin das führen kann.

Zweitens (und hauptsächlich): Der Bericht ist keineswegs vom November, sondern von gestern. Nachlesbar hat Secunia am 4. November Mozilla darüber informiert und Mozilla auch am gleichen Tag darauf reagiert. (Bravo!) Veröffentlicht wurde der Bericht am 18. Februar zusammen mit der Empfehlung, auf die soeben erschienen Updates zu gehen, in denen die Lücke geschlossen wird. Die Veröffentlichung von Sicherheitslücken erst zu einem Zeitpunkt, wenn eine Lösung auch verfügbar ist, ist übliche und gute Praxis. Ich spekuliere jetzt mal (aber durchaus begründet), daß diese Lücken zwar mit 3.5.4 und 3.0.15 erstmals entdeckt wurden, jedoch auch in den nachfolgenden Subversionen noch vorhanden sind. Da steht nämlich auch der Satz: "NOTE: Other versions may also be affected."

Wir haben es also mit einem aktuellen Sicherheitsbericht über eine aktuell geschlossene Lücke zu tun. Da ist nichts langweiliges zu entdecken, vielmehr betrifft das vermutlich auch die bis Wochenanfang aktuellen 3.0.17 und 3.5.7.

Und schon gar nicht langweilig finde ich die Frage, ob das auch den 3.6 betrifft. Der ist leider mit keinem Wort im Secunia-Bericht erwähnt, der von mir zitierte Satz kann jedoch legitim auch auf diese Version angewendet werden, beantwortet die Frage jedoch nicht wirklich.

boardraider

Zitat

Und schon gar nicht langweilig finde ich die Frage, ob das auch den 3.6 betrifft. Der ist leider mit keinem Wort im Secunia-Bericht erwähnt

In dem Bericht geht es um folgenden Report auf der Seite von Mozilla.
http://www.mozilla.org/security/annou…fsa2010-03.html

Zitat

Fixed in: Firefox 3.6

Was auch für die anderen Schwachstellen gilt, die mit 3.5.8 behoben wurden.