Mozilla Firefox 3.6.12 Remote Denial Of Service

    Die PC-Welt online meldet eine DoS-Lücke im Firefox 3.6.12 auf einem Mac OSX 10.6.5 System.
    Quelle
    Die Lücke wurde im Internet Storm Center Blog publiziert.
    Weiß jemand was über Arbeiten an einem UpDate?

    "keine Sicherheitslücke": nicht unmittelbar, aber mittelbar (unbeschadet dessen, daß DoS-Attacken in der Regel gegen Server gerichtet sind, hier aber eben nicht). Eine Software auf einem entfernten Rechner abstürzen lassen zu können zählt nicht zu den Spaßfunktionen, und wenn sich der betreffende Code auf verschiedenen Webseiten befindet, dann werden deren Betreiber einen Grund dafür haben.

    "Exploit unberechtigt und verantwortungslos": "Ein Exploit ist im EDV-Bereich ein kleines Schadprogramm bzw. eine Befehlsfolge, die Sicherheitslücken und Fehlfunktionen von Hilfs- oder Anwendungsprogrammen ausnutzt.
    Wenn ein abstürzender Browser keine Fehlfunktion ist, dann weiß ich nicht, was überhaupt Fehlfunktionen sind.
    Weiter heißt es im gleichen Artikel: "Meist sind die ersten für eine bekanntgewordene Sicherheitslücke veröffentlichten Exploits sogenannte DoS-Exploits, die zwar die betroffene Anwendung überlasten, allerdings keine Ausführung von fremdem Programmcode und keine Eskalation von Privilegien beinhalten." Auf "die ersten" folgen nicht selten "die nächsten".... Und weiter: "Das Grundproblem ist allerdings unsaubere Programmierung." Wo jetzt die Verantwortungslosigkeit bestehen soll, das Kind beim Namen zu nennen, bleibt im Dunkeln.

    Zitat von Cosmo

    [...]Wo jetzt die Verantwortungslosigkeit bestehen soll, das Kind beim Namen zu nennen, bleibt im Dunkeln.

    Nö, diese Frage stellt sich real überhaupt nicht und da bleibt auch nichts im Dunklen.

    Wenn man dem Exploit folgt Mozilla Firefox <= 3.6.12 Remote Denial Of Service, dann bleibt nur die Frage nach der Phantasie. Wer schreibt schon freiwillig so einen Blödsinn ?

    Kein Programmierer / Hersteller hat die Vorstellungsgabe, was mit seinem Produkt so angestellt wird. Dem ist so.

    P.S. die Problematik ist in den angekündigten Versionen bereinigt.

    Nein. Behoben wurde - meiner Ansicht nach - bedauerlicherweise nichts, da die Thematik eine ganz andere ist.

    Boersenfeger stellte über eine Quellendarstellung [PC-Welt] u.A. Folgendes zur Disputation:

    Zitat

    Die „Schwachstelle“ ermöglicht einen so genannten DoS-Angriff (Denial of Service) über das Internet, der Firefox zum Stillstand bringen kann[...]


    In Bezug der oben genannten Pressemitteilung wurden – meiner Beurteilung nach - Ursache und Wirkung vertauscht. Obendrein wurden i.B. des oben zitierten Artikels (PC-Welt) vermutlich falsche Schlussfolgerungen gezogen, da solche (D)DoS-Angriffs-Formationen grundsätzlich nur zielgerichtet gegenüber Server-Infrastrukturen ausgerichtet sein können und somit für den Browser irrelevant sind. Ein wie auch immer gearteter Browser kann gemäss so eines eingeleitenden „DoS-Verfahrens“ somit – meinen bisherigen Kenntnissen nach – auch nicht stillgelegt werden. Die durch diesen Browser „angesprochenen“ Server dagegen schon.

    Schlussendlich vermag so ein Browser bloss einen „Vermittler“ (engl. intermediary) darzustellen, der im Anschluss als ungesicherte Schnittstelle zum lokalen System sog. infizierte „Dämonenprozesse“ einschleusen kann, die im Anschluss daran dezentralisiert verteilt wiederum sog. „Zombie-Rechner“ zu instrumentalisieren vermögen.

    Durch sog. (D)DoS „Floodings“ (Überflutungs-Angriffe / z.B. UDP / SYN) werden letztendlich z.B. nur zugrundeliegende TCP-Protokollschritte, bzw. UDP-Schwächen ausgenutzt.

    Glaube daher nicht alles, was Dir die „angeblich“ informierte allgemeine Presse vorhält. Das wahre Wissen sitzt woanders und wird obendrein teuer bezahlt. Entscheidend ist meiner Ansicht dabei immer nur: Wer ist i.d.L. zu einem bestimmten Zeitpunkt welche Kenntnisse abzurufen – Wer hat i.B. dieser Kenntnisse einen Zeit-Vorteil – Inwieweit vermag man den Quellen dieses erworbenen Wissens zu vertrauen. ;)


    Oliver


    http://de.wikipedia.org/wiki/SYN-Flood
    http://www.cert.org/advisories/CA-1996-01.html

    Einmal editiert, zuletzt von Oliver222 (14. Dezember 2010 um 03:28)

    Zitat von Oliver222

    ... stellte über eine Quellendarstellung [PC-Welt] u.A. Folgendes zur Disputation


    Wird's eine Dissertation oder doch eine Habilitation zur Klärung wissenschaftlicher Streitfragen? :cry: Junge, Junge, wie man mit unverdauten Vokabeln doch etwas über sich erzählen kann. :mrgreen: "Meinen bisherigen Kenntnissen nach" :lol: bezweifle ich, daß besagtes Forenmitglied die Intention hatte, eine Disputation zu führen; für normale Leser hat er erkennbar auf eine Quelle Bezug genommen (ohne Quote, dargestellt wurde also gar nichts) und die Frage nach einem diesbezüglichen Update gestellt.

    Zitat von Cosmo

    Meinen bisherigen Kenntnissen nach" :lol: bezweifle ich, daß besagtes Forenmitglied die Intention hatte, eine Disputation zu führen;

    So isses... :mrgreen:

    Cosmo erklärte u.A. Folgendes:

    Zitat

    [...]für normale Leser hat er (Wer?) erkennbar auf eine Quelle Bezug genommen (ohne Quote, dargestellt wurde also gar nichts) und die Frage nach einem diesbezüglichen Update gestellt.


    Easy Cosmo. Wie Du sicherlich erkanntest, galt mein vorangestelltes Arrgument gegenüber dem von Böersenfegers angeführten Artikel der PC-Welt und richtete sich somit nicht gegenüber seiner pers. Meinung, da er (Boesrenfeger) diese Pressemitteilung bloss zitierte und darüberhinaus der Ansicht unterlag, in einem seiner vergangenen Beiträge eine technische Lösung gefunden zu haben die – meiner Meinung nach – jedoch einem Konzept nicht gerecht wird.


    Cosmo erklärte i.B. des letzten Postings in seiner Gesamtheit u.A. Folgendes:

    Zitat

    Wird's eine Dissertation oder doch eine Habilitation zur Klärung wissenschaftlicher Streitfragen? Junge, Junge, wie man mit unverdauten Vokabeln doch etwas über sich erzählen kann. "Meinen bisherigen Kenntnissen nach" bezweifle ich, daß besagtes Forenmitglied die Intention hatte, eine Disputation zu führen; für normale Leser hat er erkennbar auf eine Quelle Bezug genommen (ohne Quote, dargestellt wurde also gar nichts) und die Frage nach einem diesbezüglichen Update gestellt.


    Denke noch einmal ruhig über Deinen hier eingestellten Beitrag nach. Was für einen technischen Wert hatte Deine obige Aussage? Hast Du damit irgendjemanden geholfen? Wollen wir solche Äusserung nicht doch besser in den Smalltalk-Bereich verschieben wo Du - meiner Beurteilung nach - ohnehin besser positioniert wärst?

    In der Absicht Dir nicht zu nahe treten zu wollen,können wir uns hier gerne über technische Aspekte unterhalten – jedoch ganz bestimmt nicht über philosophische Aspekte der IT-Security.


    O.T.
    Aus der Windows-Sicherheits Richtlinie.

    Zitat

    [...]Sie selbst sind ein zentraler Punkt Ihres Sicherheitskonzepts. Überlegen Sie vorher, ob Sie einen Link tatsächlich anklicken wollen und klicken Sie nicht einfach, weil es so einladend aussieht.[...]


    Hervorragend in der Absicht – nur leider missverständlich in der Darstellung - und darüberhinaus etwas unglücklich formuliert...


    Oliver

    Zitat von Oliver222


    Hervorragend in der Absicht – nur leider missverständlich in der Darstellung - und darüberhinaus etwas unglücklich formuliert..

    Oliver222: Statt einzelne Mitglieder anzustinken, beteilige dich, bei echtem Interesse, lieber an der Entwicklung und Fortschreibung des zitierten Threads.
    Voraussetzung: Eine Ausdrucksweise, die ein normaler nicht englisch sprechender Mensch versteht und kein Technokraten-Deutsch/Englisch.

    Zitat von Boersenfeger

    Eine Ausdrucksweise, die ein normaler nicht englisch sprechender Mensch versteht und kein Technokraten-Deutsch/Englisch.

    Kleiner Widerspruch.
    Bei der von dir zitierten Passage gab es nichts zu verstehen. Der Informationsgehalt entsprach einer leeren Menge.

    Zitat von .Ulli

    Bei der von dir zitierten Passage gab es nichts zu verstehen. Der Informationsgehalt entsprach einer leeren Menge.

    Stimmt, die zitierte Stelle war klar und voll verständlich, auch für mich. Nicht aber unbedingt (überwiegend) seine sonstigen Statements.... So sollte man dies eigentlich verstanden haben... :-??

    Zitat von Boersenfeger

    Nicht aber unbedingt (überwiegend) seine sonstigen Statements....

    Denk dir nichts. Ich habe diverse Unternehmensberater kennen lernen dürfen. In selbigen Kreisen ist eine "verbale Masturbation" gern genommen.
    Je nach Position im Betriebsgeschehen wird eine Frage "Where's the beef ?" nicht gestellt.

    P.S. Sorry für die anglizistische Phrase, aber mir ist keine germanische Translation bekannt, die es so auf den Punkt bringt.

    Zitat von .Ulli

    - Je nach Position im Betriebsgeschehen wird eine Frage "Where's the beef ?" nicht gestellt.

    P.S. Sorry für die anglizistische Phrase, aber mir ist keine germanische Translation bekannt, die es so auf den Punkt bringt.


    Nun der Dolmetscher des Klassikers *Safe Mode* hätte damit keine Probleme! :lol:
    "Wohin ist das Rindfleisch?"

    (Germanisch strittig wäre, ob man sich nicht besser für etwas Lebendiges entscheiden sollte!)

    [/Sorry - ich konnte nicht anders]

    :)

    LOL

    P.S. wohin trifft nicht den Kern, es ist ein echtes wo gemeint.
    P.P.S. die Lebendigkeit würde die Thematik unkontrollierbar gestalten.

    ... wobei es aber immer auch in der Gestaltung auf den Zusammenhang ankommt.

    Der Restaurant- Gast, welcher von der Toilette zurück an seinen Tisch kommt sieht es möglicherweise ähnlich, wie der Metzgergeselle, welcher nach Schichtende seinen Umkleideschrank öffnet. Ein Landwirt, welcher suchend auf der Weide steht, würde sich für die *lebendige* Variante entscheiden!

    Sorry, deine Variation hatte ich jetzt außen vor gelassen...

    :lol:

    Es ist doch kein Grund für ein Sorry gegeben.

    Gerade bei verbalen Werken hat doch der Autor keinerlei Einfluss auf die Interpretation und die Phantasie des Lesers. Professionellen Autoren ist die Fähigkeit mit beiden zu spielen gegeben.