|
|
|
Freitag, 27. Juli 2007
|
Experten mit neuen Erkenntnissen zu Firefox/IE-Lücke
|
 Erst vor kurzem haben wir darüber berichtet, dass Secunia vor einer Sicherheitslücke warnt, bei der sich die Experten bisher uneins sind, ob die Schwachstelle den Internet Explorer oder Mozilla Firefox betrifft. Nun haben Experten neue Erkenntnisse zum eigentlichen Verursacher der Lücke gewonnen.
So berichtet das US-CERT, dass der Firefox für den Fehler verantwortlich ist, da dieser übernommene Links nicht filtert, bevor er sie an den URI-Protokoll-Handler weitergibt. Neben dem US-CERT, ist auch das französische FrSIRT der Meinung, dass die Lücke vom beliebten Browser Firefox ausgeht. Nur bei Secunia, wo zuerst über die Lücke berichtet wurde, ist man der Ansicht, dass der Fehler in Windows zu suchen ist.
Da bislang kein Patch für die Lücke veröffentlicht wurde, schlagen die Experten des US-CERT einen Workaround vor. Dabei soll im Firefox ein Warndialog aktiviert werden, der den Anwender beim Aufruf einer entsprechenden URI benachrichtigt.
Um den Warndialog zu aktivieren muss man zunächst in der Adressleiste des Firefox "about:config" eintippen. Danach muss man folgende Optionen auf "true" setzen:
network.protocol-handler.warn-external-default
network.protocol-handler.warn-external.mailto
network.protocol-handler.warn-external.news
network.protocol-handler.warn-external.nntp
network.protocol-handler.warn-external.snews
|
|
|
|
|
|
|
|
 |
[o1] |
von am 27.07.07 um 17:52 Uhr |
  |
 |
 Die Benutzung des Add-ons NoScript https://addons.mozilla.org/en-US/firefox/addon/722 ist wesentlich komfortabler als die about:config Frickelei. Vor ein paar Tagen wurde ein Schutz eingebaut (http://noscript.net/changelog).
Bearbeitet von aha am 27.07.07 um 17:53 Uhr. |
|
| |
|
[re:1] |
von am 27.07.07 um 20:24 Uhr |
|
|
@aha: traurig, wenn man für die Sicherheit erst Plugins braucht. Da ist der IE7 weiter. |
|
| |
|
[re:2] |
von am 27.07.07 um 20:31 Uhr |
|
@Kirill: Ja, die sind gleich so gescheit und vertuschen es oder streiten ab das es eine Lücke in ihrem Produkt wäre -> It's not a bug, it's a feature :-) - Nur hier finde auch ich, dass es sich im eine FF-Lücke handelt...
Bearbeitet von Eiskalter Engel am 27.07.07 um 20:35 Uhr |
|
| |
|
[re:3] |
von am 27.07.07 um 21:46 Uhr |
|
@Kirill Erst mal heißt es Add-On. Ein Plugin ist etwas anderes. Doch ich fände die Integration von NoScript in den Firefox wünschenswert. Scheitert bestimmt an der Überforderung der Benutzer.
Bearbeitet von aha am 27.07.07 um 21:47 Uhr |
|
| |
|
[re:4] |
von am 27.07.07 um 23:57 Uhr |
|
@ Kirill: traurig, wenn man für die sicherheit monate warten muss, bis microsoft seinen arsch bewegt und eine lücke schließt. wie in der news schon beschriebn, kann man diese lücke im FF sogar selbsständig "schließen". Ist zwar nicht die feine engliche art, aber bis zum Update, oder sofern der User jeden link klicken muss, kann man das machen.
Bearbeitet von elecfuture am 27.07.07 um 23:59 Uhr |
|
| |
|
[re:5] |
von am 28.07.07 um 15:43 Uhr |
|
|
@elecfuture: Es ist momentan überhaupt nicht klar, ob es an Windows liegt. |
|
| |
|
[re:6] |
von am 28.07.07 um 16:08 Uhr |
|
|
@ Idle: ich rede ja auch nicht vom Windows. Mit update meine ich alleine nur diesen drecksbrowser IE7 :) Mozilla kümmert sich wenigstens um seine Kunden und läst diese nicht monatelang warten, bis eine lücke behoben wurde. Der IE 6 und 7 ist bei mir nur daruf, wegen der programmierung von Webseiten. Leider!!! |
|
| |
|
[re:7] |
von am 29.07.07 um 03:51 Uhr |
|
|
@aha: @kirill deine aussage ist ziemlich dünn und spiegelt nur dein unwissen wieder in meinen augen, ich wette mit dir das es kein plugin für den ie7 gibt das den firefox so sicher macht wie noscript. |
|
| |
|
[re:8] |
von am 29.07.07 um 12:43 Uhr |
|
|
Was kann den der IE in sachen sicherheit mehr als der firefox?
Javascript kann ich auch ohne erweiterung abstellen.
UNd das URIs nicht gefiltert werden ist ja nicht unbedingt was schlimmes.
Dafür hat der ie andere gefährlichen ungereimtheiten. |
|
|
[o2] |
von am 27.07.07 um 17:59 Uhr |
|
|
| Wird man dann also gewarnt, wenn man eine Mailadresse anklickt, bevor sich der Client öffnet?? |
|
| |
|
[re:1] |
von am 27.07.07 um 18:39 Uhr |
|
@TobWen: Firefox fragt dann bei den genannten URl den Anwender. Das wird die meisten Benutzer überfordern und deckt auch nicht alle reg. URl ab.
Bearbeitet von aha am 27.07.07 um 19:22 Uhr |
|
|
[o3] |
von am 27.07.07 um 18:25 Uhr |
|
|
| So richtig verstehe ich das nicht... Erst ist man sich uneins, ob es den IE, oder Firefox überhaupt betrifft, jetzt auf einmal redet man von Verursacher. So wie ich es verstehe bedarf es immer noch einer entsprechend gestalteten Webseite, der Firefox ist lediglich von der Lücke betroffen, wie der Browser da jetzt Verursacher sein soll leuchtet mir nicht ein. |
|
| |
|
[re:1] |
von am 27.07.07 um 18:44 Uhr |
|
|
Ich bin kein Experte, aber kurz gesagt geht es um die Kontrolle der Links. Lies bei Heise (Quelle für diese abgespeckte News). :-) |
|
| |
|
[re:2] |
von am 27.07.07 um 19:07 Uhr |
|
|
@aha: Danke, der Heise-Artikel ist in der Tat verständlicher. Tragisch wird das Ganze also nur in Verbindung mit dem IE7 |
|
|
[o4] |
von am 27.07.07 um 18:46 Uhr |
|
|
Ist mir erlich gesagt egal wer schult ist hauptsache ist doch dass die lücke geschlossen wird.M.F.G.
Geisterfahrer
Bearbeitet von Geisterfahrer am 27.07.07 um 18:46 Uhr. |
|
| |
|
[re:1] |
von am 27.07.07 um 18:49 Uhr |
|
|
Schuld bitte mit d. :-) |
|
| |
|
[re:2] |
von am 27.07.07 um 18:50 Uhr |
|
@Geisterfahrer: wer ist "schult"?
Bearbeitet von unbound.gene am 27.07.07 um 18:50 Uhr |
|
| |
|
[re:3] |
von am 27.07.07 um 19:32 Uhr |
|
|
@Geisterfahrer: :
Schulz? |
|
| |
|
[re:4] |
von am 27.07.07 um 19:37 Uhr |
|
Ich lass das mal so es trägt ja zu allgemeinen heiterkeit bei :O
Bearbeitet von Geisterfahrer am 27.07.07 um 19:37 Uhr |
|
| |
|
[re:5] |
von am 27.07.07 um 20:42 Uhr |
|
|
@Geisterfahrer: Der Lehrer schult (!!) die Kinder, Schuld (!!) daran sind die Eltern! |
|
| |
|
[re:6] |
von am 28.07.07 um 13:38 Uhr |
|
|
@Geisterfahrer: e(h)rlich gesagt ist da noch ein fehler. wer ehrlich ohne h schreibt ist... entbehrlich :) |
|
| |
|
[re:7] |
von am 28.07.07 um 14:09 Uhr |
|
|
@MaloFFM: Noch ein Fehler ? In dem Satz ist fast nichts korrekt. Nobody is perfect. Manche übertreiben's aber wirklich. |
|
|
[o5] |
von am 27.07.07 um 19:13 Uhr |
|
|
| Alle Artikel kommen zu demselben Schluss , das Problem liegt im FF , auch wenn das manche immernoch gern bestreiten. |
|
| |
|
[re:1] |
von am 27.07.07 um 19:40 Uhr |
|
|
@~LN~: [Alle Artikel kommen zu demselben Schluss!!! ] Klick dich nicht weg! lerne auch du "lesen" und schreiben. |
|
| |
|
[re:2] |
von am 27.07.07 um 20:00 Uhr |
|
|
@~LN~: Was willst du bei dem Niveau erwarten ? |
|
| |
|
[re:3] |
von am 27.07.07 um 21:53 Uhr |
|
|
@Elbehase Dein Kommentar trägt auch nicht grade dazu bei es zu heben. :-) |
|
| |
|
[re:4] |
von am 29.07.07 um 11:32 Uhr |
|
|
@~LN~: mit solchen flameversuchen wirst du immer mehr an glaubwürdigkeit verlieren. trauriger abstieg. |
|
|
[o6] |
von am 27.07.07 um 20:09 Uhr |
|
|
| na,toll! diese "untergruppen:"
network.protocol-handler.warn-external-defa ult
network.protocol-handler.warn-external.mailto
network.pr otocol-handler.warn-external.news
network.protocol-handler.wa rn-external.nntp
network.protocol-handler.warn-external.snews ,
finde ich in der "firefox 2.0.0.5"version garnicht.
oder bin ich einfach überfordert!
Kann mich jemand aufklären? |
|
| |
|
[re:1] |
von am 27.07.07 um 20:34 Uhr |
|
|
@25cgn1981: Ich habe den neuen FF noch nicht, aber zur not könntest du mit rechter Maustaste -> Neu -> Boolean diese Werte erstellen - das hat dann die gleiche Wirkung |
|
|
[o7] |
von am 27.07.07 um 20:15 Uhr |
|
|
| hmmm... wenn man jetzt diese werte auf true einstellt... wird das mit der aktualisierung auf die nächste version (wenn diese erscheinen wird und das problem gefixt wird) wieder geändert oder muss/sollte man das manuell machen? oder nicht mehr ändern? |
|
|
[o8] |
von am 27.07.07 um 20:23 Uhr |
|
|
| Natürlich ist das im Firefox, wo denn sonst? Der IE macht ja nix, ausser eine URL, die das firefox:-Protokoll benutzt, an den Firefox weiterzureichen. |
|
|
[o9] |
von am 27.07.07 um 20:58 Uhr |
|
|
| Über die Haltung, dass der Feuerfuchs der alleinige Verursacher dieser Lücke ist, bin ich erstaunt O_0 . Anscheinend wissen nur die Wenigsten, in welchem Fall das Problem auftritt. Zur Erklärung: Beim Firefox mit einem installierten IE6 tritt der Fehler NICHT auf. Erst, wenn der IE7 parallel zu Firefox installiert wird, öffnet sich diese Lücke. Dabei spielt es keine Rolle, ob zuerst der FF oder der IE am System da war... Der Feuerfuchs trägt sicher eine Mitschuld, für die Öffnung der Lücke hat aber Microsoft mindestens genauso eine Teilschuld. Schließlich war der FF früher da als der IE (der ja bekanntlich tief im System verankert ist, so erklärt sich auch die Entstehung dieser Lücke...) |
|
| |
|
[re:1] |
von am 27.07.07 um 21:08 Uhr |
|
|
@Astorek: Deine Schuldzuweisung ist etwas dürftig wenn du meinst es liegt daran wer zuerst auf dem System war ?! Wenn der FF nach dem IE7 unter XP installiert wurde heisst das bei dir ja wieder der FF ist schuld. |
|
| |
|
[re:2] |
von am 27.07.07 um 21:27 Uhr |
|
|
@Astorek: ist überhaupt krank. dass ein aufruf/klick auf eine website den browser egal welcher dazu bringt eine programmkomponente auszuführen oder ein programm vom desktop gestartet werden kann.....ist windows schon ein "internet explorer" , muss alles "ausführbar sein. da muss ich den alten spruch bringen: früher war alles besser....htm(l) und gut so... l.g. |
|
| |
|
[re:3] |
von am 27.07.07 um 21:29 Uhr |
|
|
@~LN~: Ich sagte doch, dass es "keine Rolle" spielt, welcher Browser zuerst installiert wurde. Mit "der FF (war) früher da als der IE" meinte ich das natürlich in Bezug auf den aktuellen IE7 und wann der veröffentlicht wurde (und nicht, wie es auf meinem PC der Fall ist: mich wunderts, wie du darauf kommst, das steht nämlich überhaupt nicht in meinem Kommentar o.ô ). |
|
| |
|
[re:4] |
von am 27.07.07 um 23:13 Uhr |
|
|
@Astorek: Ich habe 2 Zähne, die etwas auseinander stehen, welcher zuerst da war und jetzt für die entstandene Lücke verantwortlich ist kann ich nicht sagen. Kann mir da jemand helfen? |
|
|
[10] |
von am 27.07.07 um 20:59 Uhr |
|
|
What about 'network.protocol-handler.warn-external.webcal'? Btw. 'network.protocol-handler.warn-external-default' ist bei mir 'true' gesetzt, das kann aber auch daran liegen, daß ich heute per Auto-Update die 2.0.0.6 RC installiert habe.
Bearbeitet von z@pp@ am 27.07.07 um 21:09 Uhr. |
|
|
[11] |
von am 27.07.07 um 21:40 Uhr |
|
|
| Hat es nicht geheißen, dass FF Version 2.0.0.5 mit einem Workaround das Problem behoben hat? |
|
| |
|
[re:1] |
von am 27.07.07 um 21:50 Uhr |
|
|
Nee, leider nicht. Genau darum geht es ja. Lies bei Heise. |
|
| |
|
[re:2] |
von am 27.07.07 um 22:20 Uhr |
|
|
@aha: OK, danke. Für alle. "Demzufolge wäre der von den Firefox-Entwicklern erstellte Patch wirkungslos, da er nach %00 in URIs sucht, um sie zu blockieren." |
|
|
[12] |
von am 28.07.07 um 03:43 Uhr |
|
|
| zum Glück ist bei Windows n Browser, der was taugt integriert und ich muss nicht zuerst (mit IE) auf die Fuchsjagdt. |
|
| |
|
[re:1] |
von am 28.07.07 um 03:46 Uhr |
|
|
@Dirty Mr Kurti: so wie du Trottel Jagd schreibst, wirst du gleich n paar Grammatikexpertenkommentare einfangen, Kurti |
|
| |
|
[re:2] |
von am 28.07.07 um 03:47 Uhr |
|
|
@Dirty Mr Kurti: naja - soviel dann zum Thema editieren... |
|
| |
|
[re:3] |
von am 28.07.07 um 03:48 Uhr |
|
|
@Dirty Mr Kurti: so gerät man ziemlich schnell in die Schussbahn! lol |
|
| |
|
[re:4] |
von am 28.07.07 um 03:56 Uhr |
|
|
@Dirty Mr Kurti: naja - solange hier noch Leute geschult werden, ist das ja nicht schlimm - deshalb gleich ne url für alle, Kurti, ok? http://tinyurl.com/2r6vv5 |
|
| |
|
[re:5] |
von am 28.07.07 um 03:57 Uhr |
|
|
@Dirty Mr Kurti: da kann ich nur sagen, die Jagd war erfolgreich :-) |
|
| |
|
[re:6] |
von am 28.07.07 um 04:16 Uhr |
|
|
@Dirty Mr Kurti: Selbstgespräche!? |
|
| |
|
[re:7] |
von am 29.07.07 um 12:45 Uhr |
|
|
@Dirty Mr Kurti: ZUm Glück hab ich bei meinen Linux einen Browser der was taugt und ich muss micht nicht mit dem ie abquälen... |
|
|
[13] |
von am 28.07.07 um 04:55 Uhr |
|
|
| Wie lange wurde nochmal der IE6 als größte Sicherheitslücke der Welt geduldet, bis sie den tollen IE7 rausgebracht haben? Und nun sind alle Schwachmaten heil froh über ihren hypermodernen Browser IE7... ihr habt echt nen Egoproblem Leute... bleibt mal sachlich... der IE7 ist cool... aber er wäre nie rausgekommen, wenn FF nicht so einen spontanen Zulauf gehabt hätte... wers bestreitet, hat den Browsermarkt nicht begriffen... |
|
| |
|
[re:1] |
von am 28.07.07 um 08:14 Uhr |
|
|
@Jupsihok: Schade... du hast den Browsermarkt nicht begriffen... |
|
| |
|
[re:2] |
von am 28.07.07 um 10:27 Uhr |
|
|
@Jupsihok: Da muss ich Dir recht geben. Der IE7 ist meiner Meinung auch eine Reaktion auf FireFox. Wenn es keine Konkurrenz gebe, hätten wir immer noch den IE6 mit zahlreichen Bugs und Sicherheitslücken. Denn ausser FF gibt es keine "gute" Browser-Alternative. Die diversen kleinen "No-Name Browser" (ich meine nicht die Aufsätze) kann man nicht als wirkliche Konkurrenz ansehen... |
|
| |
|
[re:3] |
von am 28.07.07 um 10:41 Uhr |
|
|
@Jupsihok: Du tuhst ja gerade so als hätte Microsoft den IE6 nie gepatcht und sowas nennst du sachlich ? das war wohl nichts. |
|
| |
|
[re:4] |
von am 28.07.07 um 13:09 Uhr |
|
er hat insofern recht, als dass ms wirklich im zugzwang war/ist seinen explorer - der auch rein zufällig mehr schlecht als recht internetseiten darstellen kann - zu verbessern. und ob ie6 gepatcht war oder nicht spielt imho keine rolle, weil er einfach modernen anforderungen nicht gewachsen ist. hat sich ja mit ie7 gebessert, was ich gerne konstatiere. schade nur, dass er xp sp2 voraussetzt, aber nun gut.
tendenziell kann ich es nur begrüßen, wenn aufgrund von konkurrenzsituationen produkte verbessert werden oder siehst du das anders?
Bearbeitet von Kommissar Flex am 28.07.07 um 13:13 Uhr |
|
|
[14] |
von am 28.07.07 um 10:29 Uhr |
|
|
| Ich nutze übrigens IE7 und FireFox...!!! :-) |
|
|
[15] |
von am 28.07.07 um 21:38 Uhr |
|
|
| http://msinfluentials.com/blogs/jesper/archive/2007/07/20/hey- mozilla-quotes-are-not-legal-in-a-url.aspx
Wer im Glashaus sitzt, sollte nicht mit Steinen werfen! |
|
|
[16] |
von am 29.07.07 um 11:34 Uhr |
|
|
| na gut, für linuxuser ziemlich unspannend. aber nette kommentare :) |
|
|
[17] |
von am 30.07.07 um 15:41 Uhr |
|
|
| http://www.heise.de/newsticker/meldung/93535/from/rss09
Sovie l zum Thema der Firefox war's.... Auch Skype muss dran glauben. Bin mal gespannt, wann MS da Licht reinbringen will... |
|
Schreiben Sie uns Ihre Meinungen, bewerten Sie Kommentare oder diskutieren Sie mit anderen WinFuture.de Lesern!
Sie sind noch kein Mitglied?
Sie haben bereits einen Zugang?
|
|
|
|
Start | 
RSS | 
