 Sicherheitslücke in Firefox "extrem kritisch" |
PygoscelisPapua 
BlackBoarder
Dabei seit: 20.12.2003
Beiträge: 1.309
Herkunft: Kiel, Schleswig-Holstein, Germany
 |
|
| Sicherheitslücke in Firefox "extrem kritisch" |
|
Da wir hier ja einige Firefox-User haben, möchte ich mal auf folgenden Artikel aufmerksam machen:
| Zitat: |
Original von zdnet
Erste Exploits aufgetaucht
Die vor einigen Tagen aufgetauchten Sicherheitslücken im Open Source-Browser Firefox wurden von den Security-Spezialisten von Secunia jetzt als "extrem kritisch" eingestuft, da inzwischen Exploits zur Verfügung stehen. Die Schwachstellen wurden in der Version 1.0.3 des Browsers entdeckt, laut Secunia könnten aber auch andere Releases betroffen sein.
Bei den Sicherheitslecks handelt es sich um ein Problem mit "IFRAME" Java Script-URLs, die im Kontext anderer Links nicht entsprechend geschützt sind. Außerdem werden an "InstallTrigger.install()" übergebene Werte nicht richtig geprüft, wodurch sich schädlicher Code Nutzerrechte verschaffen könnte.
Werden die beiden Lücken in Verbindung genutzt, kann auf einem System ohne das Zutun des Nutzers schädlicher Code ausgeführt werden. Zwar sind für die Schwachstellen noch keine Patches verfügbar, als vorbeugende Maßnahme empfiehlt die Mozilla-Foundation die Deaktivierung von Java Script sowie der Möglichkeit zur Installation von Software. Wann ein Patch zur Verfügung stehen wird, ist bislang nicht bekannt. |
Quelle
__________________
There are only two kinds of programming languages: those people always bitch about and those nobody uses.
(Bjarne Stroustrup)
*
Moving on to pastures new
GPG Key
|
|
10.05.2005 14:06 |
|
|
Wenso
Amokschläfer
Dabei seit: 25.02.2002
Beiträge: 1.715
Herkunft: Hessen
|
|
Man liest z.B. hier, dass das Firefox-Team die Version 1.0.4 von Firefox evtl. schon auf diese Woche vorziehen will!
In dieser Version sollen die Probleme schon behoben sein.
MfG Wenso
__________________
|
|
|
10.05.2005 14:33 |
|
|
deklarmart
Aufsteiger
Dabei seit: 02.01.2003
Beiträge: 85
Herkunft: Germany
|
|
als sehr sehr kritsch finde ich das überhaupt nicht. wenn man bedenkt das man
sich mit dem IE ebenfalls komplett ohne zutun des users diverse adware oder
trojaner einfagen kann...
dann sind diese lücken mit dem scheiß bufferoverflow ungefährlich! ich hab jedenfalls
noch nie von einem hack erfahren (also jetzt so gängig im internet) der solch eine
lücke ausnutzt.
__________________
Uns ist in alten maeren aa wunders vil geseit
von hackern lobebaeren, aa von großer apachenheit
von rooten, lan-partis, aa von win und dos,
von küener hacker striten, aa muget ir nu linux hoern sagen.
Linux-Edda
|
|
|
10.05.2005 14:38 |
|
|
Champus
BlackBoarder
Dabei seit: 24.03.2002
Beiträge: 1.649
Herkunft: Karlsruhe
|
|
Also ich kenn ein Exploit für FireFox das gibt's nicht erst seit ein paar Tagen sondern schon seit 3 Wochen, fast ein ganzer Monat ... scheinen wohl viel zu vertuschen, die Hüter des Feuerfuchses ...
__________________
CorvusCorone -> Champus
|
|
|
10.05.2005 15:01 |
|
|
PygoscelisPapua
BlackBoarder
Dabei seit: 20.12.2003
Beiträge: 1.309
Herkunft: Kiel, Schleswig-Holstein, Germany
Themenstarter 
|
|
| Zitat: |
Original von .r|mda³
Also ich kenn ein Exploit für FireFox das gibt's nicht erst seit ein paar Tagen sondern schon seit 3 Wochen, fast ein ganzer Monat ... scheinen wohl viel zu vertuschen, die Hüter des Feuerfuchses ... |
Dann wird es sich dabei sicherlich nicht um dieses Problem handeln, da die Version 1.0.3 laut der Help -> About Mozilla Firefox - Ausgabe erst seit dem 22.04.2005 gibt. Außerdem wirst Du mir sicherlich auch erklären, wie man bei OpenSource etwas vertuschen kann 
Auf http://secunia.com/advisories/15292/ wird die Sicherheitslücke noch ein wenig genauer Beschrieben, und besonders auch, wie man dem Vorbeugen kann:
| Zitat: |
Original von http://secunia.com/
Solution:
1) Disable JavaScript.
2) Disable software installation: Options --> Web Features --> "Allow web sites to install software"
|
| Zitat: |
Original von deklarmart
als sehr sehr kritsch finde ich das überhaupt nicht. wenn man bedenkt das man
sich mit dem IE ebenfalls komplett ohne zutun des users diverse adware oder
trojaner einfagen kann... |
Nur weil die Fehler im Internet Explorer noch kritischer und gefährlicher sind und häufiger vorkommen, find ich nicht, dass man einen kritischen Fehler deshalb verharmlosen sollte. Man soll sich nicht hochpuschen, indem man sich an Schlechterem misst, sondern man sollte sich an dem Besseren messen und dieses als Ziel anstreben.
Und ich finde, dass eine Sicherheitslücke, die es ermöglicht, fremden Code auf dem eigenen Rechner aus zu führen doch sehr kritisch!
| Zitat: |
Original von deklarmart
ich hab jedenfalls
noch nie von einem hack erfahren (also jetzt so gängig im internet) der solch eine
lücke ausnutzt. |
Man muss nur wissen, wo man suchen muss
Hier findest Du z.B. genau den Exploit der diese Lücke ausnutzt.
Und @ Rimda:
| Zitat: |
Original von http://www.frsirt.com/
Mozilla Firefox 1.0.3 Remote Arbitrary Code Execution Exploit
Date : 07/05/2005 |
Soviel zu von vor nem Monat 
__________________
There are only two kinds of programming languages: those people always bitch about and those nobody uses.
(Bjarne Stroustrup)
*
Moving on to pastures new
GPG Key
|
|
|
10.05.2005 15:39 |
|
|
deklarmart
Aufsteiger
Dabei seit: 02.01.2003
Beiträge: 85
Herkunft: Germany
|
|
| Zitat: |
Original von PygoscelisPapua
Und ich finde, dass eine Sicherheitslücke, die es ermöglicht, fremden Code auf dem eigenen Rechner aus zu führen doch sehr kritisch!
|
aber diese ganzen exploits mit "bösen und schädlichen code einschleusen" ...
da kommen JEDEN tag bestimmt 50 solche veröffentlichungen drüber!
jedes programm enthält sowas, nur weil die progger aus faulheit nicht JEDE
scheiß übergabe von variablen oder sonst was auf ihre länge prüfen oder was
weiß ich.
wer täglich den heise-security newsletter liest, den nerven diese bufferoverflows
mit der zeit bestimmt genauso *g*
wollte jetzt gerade mal ein beispiel nennen, aber von heute hab ich gerade nur
1 meldung gefunden:
http://www.heise.de/security/news/meldung/59417
hab dummerweise den RSS cache geleert, sonst hätte ich noch alle meldungen der
letzten 2 wochen^^
__________________
Uns ist in alten maeren aa wunders vil geseit
von hackern lobebaeren, aa von großer apachenheit
von rooten, lan-partis, aa von win und dos,
von küener hacker striten, aa muget ir nu linux hoern sagen.
Linux-Edda
|
|
|
10.05.2005 15:58 |
|
|
PygoscelisPapua
BlackBoarder
Dabei seit: 20.12.2003
Beiträge: 1.309
Herkunft: Kiel, Schleswig-Holstein, Germany
Themenstarter
|
|
Sicherlich, aber
1. handelt es sich nicht bei jeder Lücke um eine extrem kritische Lücke.
2. gibt es von den 50 Veröffentlichungen/Tag vielleicht eine in der Woche die auch mich betrifft, da ich entsprechende Software verwende - folglich können mir die anderen egal sein
Und da ich weiß, dass der Firefox auf diesem Board eine größere Vertretung hat, als sonst wo üblich und ich weiterhin nicht annehme, dass jeder sich täglich alle Securitymeldungen durchliest, die auf Heise erscheinen, hielt ich es für angebracht, diesen hier mal zu erwähnen [bei Internet Explorer - Exploits würd ich es nicht tun, denn 1. ist es eh allgemein bekannt, dass der unsicher ist - also wer den dennoch benutzt, ist selbst schuld und 2. haben wir hier davon eh nur eine zu ignorierende Minderheit von IE Usern *fg*
]
Außerdem: Nur durch die Menge der Vorhandenen Sicherheitslücken wird eine extrem kritische Sicherheitslücke auch nicht weniger kritisch
__________________
There are only two kinds of programming languages: those people always bitch about and those nobody uses.
(Bjarne Stroustrup)
*
Moving on to pastures new
GPG Key
Dieser Beitrag wurde 1 mal editiert, zum letzten Mal von PygoscelisPapua: 10.05.2005 16:10.
|
|
|
10.05.2005 16:09 |
|
|
CDW
eine Simulation
Dabei seit: 12.10.2002
Beiträge: 1.329
Herkunft: CreateRemoteThread
|
|
verstehe ich das richtig dass bei "IFrame JavaScript URLs Fehler" die Gecko
engine betroffen ist? Zwar ist in den Links die ganze Zeit von Firefox die
Rede aber gehört der Fehler nicht zur HTML-Engine? Dass es sich zusammen
mit XPI dann ausnutzen lässt?
Nutze zwar keinen Fuchs, aber mein Browser nutzt trotzdem die Geckoengine.
Einer der Hauptkritikpunke bei Vergleich mit Firefox war übrigens dass die XPI
rausgenommen wurde und man damit weniger Plugins hat
Sollte jetzt aber keineswegs nach "Mein Browser ist besser *ätsch* 
"
klingen,
eher leider: "Mein Browser gehört zur einer Minderheit und wird nicht so gut
betreut wie Firefox/Mozilla -Projekt, deshalb informiere ich mich immer ob der
Fehler in der HTML-Rendering-engine liegt oder im 'Drumherum' des Browsers
damit ich beruhigt surfen kann
"
IMHO sollte man sowieso alle Updates und Plugins manuell installieren, auch
wenn es etwas unbequemer ist.
| Zitat: |
dann sind diese lücken mit dem scheiß bufferoverflow ungefährlich!
|
Nein, leider nicht, diese sind genauso gefährlich wenn nicht noch mehr, da ein
User hier auf die "sicherheit" des Fuchses vertraut, diese ist aber genau bei
den Fehlern nicht gegeben. Natürlich lässt sich hier die Angriffsfläche
minimieren, da Firefox weder tief ins System integriert ist wie IE noch dass
man zum Surfen Adminrechte braucht. Der Fuchs lässt sich als USB-Stick
version einrichten. Wenn man jetzt noch einen Extrauser zum Surfen erstellt
der nirgendwo zugriff, außer auf den USB-Stick (oder halt eine Partition der
Platte) hat, dann kann auch so ein Bufferoverflow erstmal nicht viel
anrichten.
| Zitat: |
ich hab jedenfalls
noch nie von einem hack erfahren (also jetzt so gängig im internet) der solch eine
lücke ausnutzt. |
naja, IE ist immer noch sehr 'beliebt', deshalb "konzentrieren" sich die Kiddies
und Co darauf, wenn Firefox/Mozilla usw. immer mehr verbreitung finden,
werden sie sich diesen zuwenden.
Ürbigens, so wie ich das verstehe, handelt es sich eher um ein "Design"
Fehler (mit kritischen Folgen) als um eine "Bufferoverflow". Bufferoverfolws
können relativ gut vermieden werden - der/die Programmierer
müssten nur entsprechnde Libs nutzen... es gibt da auch einige
Compileroptionen die zusätzlich für sicherheit sorgen sollten. Naja, die
Diskussion darüber gehört eher ins "Programmierforum"
.
|
|
|
10.05.2005 16:31 |
|
|
HeaD
Hoffnungsloser Sozialfall in Behandlung bei Styx
Dabei seit: 31.08.2001
Beiträge: 4.142
Herkunft: Mama
|
|
Naja.. dumm wenn man seiner Firewall den Befehl gibt "Verbindungen von Firefox immer zulassen" 
Ich gebe deklarmart aber doch ein bißchen recht. Es ist schon so, daß Privatnutzer mit Bugmeldungen überschüttet werden. Gefährlich wird es eigendlich erst für Firmen. Ich als Privatanwender hab keine Daten auf meinem PC wo ich Angst haben müsste das sie jemand ließt und wenn dem so wäre, dann sollte ich mich besser schützen (nicht wie z.B. Limp Bizkit Sänger, dessen Privatporno übers Netz von seinem Rechner gesaugt wurde (wenn er da nicht selber was dran gedreht hat)). Ansonsten kann auch gern mal jemand meine Daten löschen oder Viren ausführen, dann mach ich den PC halt platt und alles neu, das ist nicht das Thema, aber Firmen sind da nartürlich etwas empfindlicher, da sie ja auch wesendlich sensiblere Daten besitzen und auch der Ausfall des Systems Arbeitszeit und Geldverlust bedeutet.
__________________
|
|
|
10.05.2005 17:32 |
|
|
PygoscelisPapua
BlackBoarder
Dabei seit: 20.12.2003
Beiträge: 1.309
Herkunft: Kiel, Schleswig-Holstein, Germany
Themenstarter
|
|
| Zitat: |
Original von HeaD
Es ist schon so, daß Privatnutzer mit Bugmeldungen überschüttet werden. |
Ja, aber da seh ich das Problem nicht nur zwingend im Bereich Bugmeldung, sondern es gibt generell eine totale Informationsflut. Und um diesen Problem Herr zu werden, müssen die Leute lernen, mit dieser Informationsflut fertig zu werden und diese nach wichtigem und unwichtigem zu filtern. Wie ich oben schon erwähnt hab: Wozu soll ich jeden Tag 50 solcher Meldungen lesen, wenn nur 1 pro Woche etwas beinhaltet, das auch mich betrifft? Man muss da die Information abwägen und filtern und nur das verwenden, was man auch wirklich braucht. Und das ist wahrlich nicht nur in dem Bereich, sondern in allen so [und das macht überdies die Medienkompetenz von morgen aus: "Wie bewälltige ich Informationsfluten" - denn mit jedem Tag wirds mehr].
| Zitat: |
Original von HeaD
Gefährlich wird es eigendlich erst für Firmen. Ich als Privatanwender hab keine Daten auf meinem PC wo ich Angst haben müsste das sie jemand ließt und wenn dem so wäre, dann sollte ich mich besser schützen |
Klar - ich denke, dass lesen der Daten ist das kleinste Übel. Aber mittlerweile wird immer mehr immer Digitaler - nemen wir jetzt nicht den PC eines Progamers, oder eines Computerfreaks, sondern den einer allgemeinen Durchschnittsfamilie - auf denen lagern heutzutage die Urlaubserinnerungen [in Form von Fotos aus der Digitalkamera und Videos aus dem Digital-Camkorder], darauf sind wichtige Daten wie Steuererklärungen, Briefe, etc. drauf. Darauf erledigt der Vater Arbeiten für seinen Job, die Mutter verwalltet neuerdings das Adressbuch auf diesem, der Sohn schreibt den Aufsatz für Physik darauf und die Tochter befindet sich grade bei 90% ihrer Diplomarbeit an der sie seit 5 Monaten arbeitet. Sojemanden ists des nicht egal, wenn ein Kind spaß daran hat, jemanden die ganzen Daten zu löschen.
Und ich denke, dass es solche Leute [wenn auch nicht so extrem] auch bei uns gibt.
__________________
There are only two kinds of programming languages: those people always bitch about and those nobody uses.
(Bjarne Stroustrup)
*
Moving on to pastures new
GPG Key
|
|
|
10.05.2005 19:52 |
|
|
HeaD
Hoffnungsloser Sozialfall in Behandlung bei Styx
Dabei seit: 31.08.2001
Beiträge: 4.142
Herkunft: Mama
|
|
| Zitat: |
Original von PygoscelisPapua
...sondern den einer allgemeinen Durchschnittsfamilie - auf denen lagern heutzutage die Urlaubserinnerungen [in Form von Fotos aus der Digitalkamera und Videos aus dem Digital-Camkorder], darauf sind wichtige Daten wie Steuererklärungen, Briefe, etc. drauf. Darauf erledigt der Vater Arbeiten für seinen Job, die Mutter verwalltet neuerdings das Adressbuch auf diesem, der Sohn schreibt den Aufsatz für Physik darauf und die Tochter befindet sich grade bei 90% ihrer Diplomarbeit an der sie seit 5 Monaten arbeitet. Sojemanden ists des nicht egal, wenn ein Kind spaß daran hat, jemanden die ganzen Daten zu löschen. |
Genau das ist der springende Punkt. Mein Vater tut all dies, aber wenn er z.B. Fotos von der Cam heruntergeladen hat, dann brennt er sie sofort und schmeisst sie wieder von Platte, das selbe macht er bei Musik usw. eigendlich bei allem was man nicht zwingend auf Platte braucht. Dazu ist er nicht 24h online, sondern nur wenn er es auch grade braucht. Wenn dies alle tun würden, dann würde auch alles von Haus aus sicherer sein.
Aber seit der Zeiten der Flatrate, und der Gigabyte Festplatte, haben sich die Leute angewöhnt alles auf Platte zu lagern bis sie platzt und den ganzen Tag online zu bleiben, selbst wenn man gar nicht zuhause ist und eigendlich auch grade keine Downloads oder Ähnliches drin hat.
__________________
|
|
|
10.05.2005 20:19 |
|
|
LX
El Comandante en Jefe
Dabei seit: 25.11.2001
Beiträge: 5.372
Herkunft: Berliner Bronx
|
|
| Zitat: |
Original von HeaD
Aber seit der Zeiten der Flatrate, und der Gigabyte Festplatte, haben sich die Leute angewöhnt alles auf Platte zu lagern bis sie platzt und den ganzen Tag online zu bleiben, selbst wenn man gar nicht zuhause ist und eigendlich auch grade keine Downloads oder Ähnliches drin hat. |
Die Daten, die einer runterlädt, gehören wohl kaum zu denen, um die man sonderlich traurig wär, wenn die verschollen gehen oder jemand anders sie sich vom eigenen Rechner runterlädt.
Allerdings gibt's auch auf Privat-PCs genug, was andere interessieren könnte. Und damit meine ich nicht nur Privatfotos, sondern auch persönliche Daten, Passworte, Kontonummern... Es gibt auch genug Privatleute, die mittlerweile Geschäfte übers Netz abschließen, sei es Einkaufen bei eBay oder Onlinebanking. Und wenn da der falsche an die Daten gelangt, kann man eine Menge Unfug damit anstellen.
Die Ausrede "ich bin nur Homeuser, wer sollte bei mir schon was finden, was ihn interessiert" ist also höchst leichtsinnig.
__________________
JS-Games.de - Misled Scripting Skills Gone Mad | Meine Filmkritiken | Urban Photography
Kommt mal in den IRC-Channel: irc.eu.freenode.net | Port 6667 | #blackboard
"Ever tried. Ever failed. No matter.
Try again. Fail again. Fail better."
- Samuel Beckett
|
|
|
10.05.2005 20:52 |
|
|
HeaD
Hoffnungsloser Sozialfall in Behandlung bei Styx
Dabei seit: 31.08.2001
Beiträge: 4.142
Herkunft: Mama
|
|
| Zitat: |
Original von LX
Die Ausrede "ich bin nur Homeuser, wer sollte bei mir schon was finden, was ihn interessiert" ist also höchst leichtsinnig. |
Deswegen schrieb ich doch, wer vertrauliche Daten auf seinem Rechner hat, der sollte sich ausreichend schützen... Firewall, Virenscanner etc.
Mit "nix vertrauliches auf dem Rechner" damit meinte ich mich, weil ich habe noch einen kleinen PC den ich als so eine Art Server benutze und nur anhabe wenn ich mal was rüberschiebe oder runterziehe. Auf diesem sind die Daten drauf die ich brauche ( oder auf meinen 286er Laptop
). Naja und der andere Rechner ist nie an wenn ich im Netz bin, weil ich 1. im Moment noch ISDN hab und mir das immer zu teuer wird und 2. Wenn ich DSL hab, dann hab ich nur eine Netzwerkkarte also muß ich immer umstöpseln.. somit brauche ich mich um die Sicherheit auf dem anderen Rechner nicht kümmern
( es sei denn da kommt so einer wie bei mir in der Umschulung (FACHINFORMATIKER), der behauptet sein Kumpel kann jeder Rechner hacken, sogar wenn er nicht an ist und nicht am Internet angeschlossen ist
)
__________________
|
|
|
10.05.2005 21:54 |
|
|
deklarmart
Aufsteiger
Dabei seit: 02.01.2003
Beiträge: 85
Herkunft: Germany
|
|
|
|
11.05.2005 12:59 |
|
|
PygoscelisPapua
BlackBoarder
Dabei seit: 20.12.2003
Beiträge: 1.309
Herkunft: Kiel, Schleswig-Holstein, Germany
Themenstarter
|
|
Und was hab ich jetzt davon?
> Vorsicht bei Widget-Downloads mit Apples Safari
Hab weder Apple noch Safari
> Wieder gefälschte Telekom-Mails mit Trojaner unterwegs
Ich öffne keine Anhänge, die ich nicht kenn, außerdem hat mein Mail-Provider einen Virenscanner.
> Kritische Lücke in Apples iTunes
S.o. - weder Apple noch iTunes
> IPSec-VPNs geben verschlüsselte Inhalte preis
Hab auch kein IPSec-VPN
> Microsoft schließt Lücke im Windows Explorer
Hab weder Windows noch den Internet Explorer
> Handy-Viren weiterhin keine ernstzunehmende Gefahr
Hab kein Handy, auf dem man Programme ausführen kann
> Remote-Buffer-Overflow im Golden FTP Server Pro
Hab keinen Golden FTP Server Pro
> Kritische GIF-Lücke auch in Netscape
Hab Netscape nur installiert um meine Webseite zu testen, nutze es sonst nicht
> Buffer Overflow in Grafikbibliothek libTIFF
Der Punkt ist für mich interessant, da ich Gentoo-User bin. Da dort steht, dass der Fehler behoben wurde, weiß ich, dass ich ein emerge -avuD world den Fehler behoben hab. Also muss ich mir auch dort keine weiteren Gedanken zu machen.
Und nun? Allein schon an den Überschriften weiß ich, dass ich diese News garnicht zu lesen brauch [soviel zu Selektion und Bewältigung von Informationsfluten]. An der akuten gefahr, die der Firefox mir [und allen andern hier, die ihn nutzen] ändern diese Daten da oben auch nichts. Es ist ja nicht, dass jetzt jeder, der den Firefox nutzt, sofort damit rechnen muss, dass was passiert, wenn er sein JavaScript dann nicht deaktiviert - aber ich als einzelne, individuelle Person muss nur pech haben, und an so eine bescheuertes Skriptkiddie-Seite gelangen, und mir wird dann mein Homeverzeichnis gelöscht! Und ja, auch ich hab eine beträchtliche Sammlung privater Sachen darauf, die unter anderem einen ideellen Wert für mich haben, genau so wie Sachen, an denen ich grade Arbeite, und die ich, da sie sich jeden Tag weiterverändern auch nicht andauernd auf CD Brennen kann [dafür reicht mein Budget zur Zeit einfach nicht] - geschweige denn von den ganzen configurationsdatein, an denen ich, je nach Programm auch teilweise sehr lange gesessen hab. Und ich glaube nicht, dass es nur mir so geht...
__________________
There are only two kinds of programming languages: those people always bitch about and those nobody uses.
(Bjarne Stroustrup)
*
Moving on to pastures new
GPG Key
|
|
|
11.05.2005 14:39 |
|
|
deklarmart
Aufsteiger
Dabei seit: 02.01.2003
Beiträge: 85
Herkunft: Germany
|
|
| Zitat: |
Original von PygoscelisPapua
> Microsoft schließt Lücke im Windows Explorer
Hab weder Windows noch den Internet Explorer |
...so nehm ich an, das du linux benutzt? dann hab ich nämlich heute was für
dich *g*
http://www.heise.de/security/news/meldung/59498
*hoff*
__________________
Uns ist in alten maeren aa wunders vil geseit
von hackern lobebaeren, aa von großer apachenheit
von rooten, lan-partis, aa von win und dos,
von küener hacker striten, aa muget ir nu linux hoern sagen.
Linux-Edda
|
|
|
12.05.2005 17:18 |
|
|
|
