Sicherheitslücken bei Mozilla Browsern entdeckt

Software Anwender, die einen Browser benutzen, der auf Mozilla setzt, sind vor zwei Sicherheitslücken gewarnt worden. SecurityFocus hat eine Warnung herausgegeben, derzufolge auf vielen Plattformen eine Reihe von Problemen auftritt. Mit der ersten Lücke kann ... mehr...

Diese Nachricht vollständig anzeigen.

Jetzt einen Kommentar schreiben
 
und da sind sie, die security-bugs .
 
@bond7: Was heißt da hier sind sie. Hab schon öfters gesagt das es einige Sicherheitslücken in den Mozilla Browsern gibt. Und die Lücken sind auch schon nen guten Monat alt.
 
@bond7: ...neueste Version 1.0 verwendet wird... und schon sind sie wieder weg schon seid ein paar monaten :D
 
@bond7: Dann achten wir mal darauf wie schnell Mozilla reagiert.
 
@bond7: @DOCa Cola: Nicht wirklich. Es gibt auch immer noch einige Holes in der 1.0.
 
@bond7: Nö, die sind nicht da, sondern weg, und zwar seit dem 9.11.2004. @pSyCHo_SolDiEr: Welche denn? Liegen Dir Insiderinformationen vor, die auf den Mailinglisten der Fachleute noch nicht bekannt sind? Falls ja, könntest Du sie bitte nennen? Falls nein, könntest Du Dich bitte zurückhalten? Dankeschön!
 
@bond7: Erst recherchieren, dann provozieren ,)
 
@bond7: Wenn man keine Ahnung hat, einfach mal .......
 
@bond7: ...und es werden nicht die letzten sein...
 
@luzi & friederisch: alle reagieren sachlich , nur ihr beide nicht....aber so ist das wohl normal, wenn die news am lack eines heiligtums kratzt ...
 
@bond7: Ja und Bugs, die schon längst gefixt sind, deswegen, wenn man keine Ahnung hat ....
 
@DOCa Cola:
http://www.seitseid.de
 
@bond7: @installer: Ja mir liegen noch Holes für die 1.0er vor. Und warum sie dir "Fachmann" in deinem Newsletter nix geschrieben haben weiß ich auch nicht.
Eine Lücke kannst du hier finden: http://www.zone-h.org/en/advisories/read/id=6502/.
Eine weitere: http://packetstormsecurity.org/0412-advisories/browserFind.txt
Und noch eine: http://packetstormsecurity.org/0501-advisories/secres04012005.txt

Bitteschön.
 
@bond7: Sorry da ist beim posten der links was schief gelaufen. Habe sie im Forum aber noch mal zusammengefasst.
http://www.winfuture-forum.de/index.php?showtopic=29689
 
@yCHo_SolDiEr: Ein kleiner Tipp: Eigene Kommentare können auch geändert werden. Dies macht man über den "MyWinFuture" Button rechts oben auf der Seite.
 
@bond7: Deine Phrase sind genau so löchrig wie dein bevorzugter Browser.
 
@bond7: [1] Bugs kommen seit jeher regelmäßig ans Tageslicht - keine Veränderung zu früher (siehe Bugcharts. [2] Bugs wurden schon längst behoben - keine Veränderung zu vorher. [3] Du wolltest nur mal genauso wie bei Heise ein wenig rumtrollen.
 
@bond7: @Chuck: Lob mal nicht Heise so in den Himmel. Die sind ziemlich langsam. Um wirklich neue News über Bugs und Holes mitzubekommen musst du schon auf anderen Seiten sein. Ich habe meistens schon die News über eine neue Sicherheitslücke 3 Wochen bevor es auf Heise oder hier erscheint.
 
@pSyCHo_SolDiEr: Heise loben? Ich bin durch diverve Security Newsnetter und Accounts in Bugtraqs immer up2date. Und auch bei Mozilla bin ich im Bugtraq immer fleissig dabei.
 
Denke es wird max. 7 Tage dauern bis ein Patch bzw. eine neue Version da sind. Dann gehts weiter... trotzdem Glückwunsch für denjenigen der die Lücken entdeckt hat , der ist nun um 500$ reicher.
 
@Comet: Warum äußerst Du Dich hier, ohne die Meldung gelesen zu haben? Firefox 1.0 ist seit dem 9.11.2004, also seit zwei Monaten, draußen und enthält diese Lücken nicht mehr.
 
Da sieht man's mal wieder: kein (größeres) Programm kann jemals wirklich frei von Bugs und Sicherheitslücken sein. Glücklicherweise scheinen diese neuen Lücken weniger schlimm zu sein...
 
@Random Guy: Ein Buffer Overflow nicht schlimm??
 
@lafote: Weißt du überhaupt , was ein Buffer Overflow ist???
 
@The_Jackal: Ja, sogar im Detail. Du offensichtlich ja wohl nicht, wenn du ihn für harmlos hälst - was glaubst du durch was für eine Sicherheitslücke Blaster, Slammer und CodeRed ausgebrochen sind!? Weisst du überhaupt, wie man meinen Nicknamen schreibt?
 
Dieser Buffer Overflow tritt _nur_ bei modifizieren news:// Links für Newsgroups auf. Wie oft trifft man gewöhnlich auf solche Links? Mir ist nach Jahren im Netz noch keiner aufgefalen :-S
 
@Random Guy: Es könnte aber jemand dafür sorgen das Du auf einen solchen Link triffst, nur um die Sicherheitslücke auszunutzen.
 
Ja, das ist möglich, wenn auch sehr unwahrscheinlich. Mal angenommen, man käme wirklich durch irgendeinen Zufall auf eine modifizierte news:// -Seite und ein Buffer Underun wird ausgelöst. Was kann groß passieren? Ich nehme an, das lediglich der Browser abstürzt...
 
@Random Guy: ... oder schädlicher Code eingeschleust wird. Nun mal existierende Sicherheitslücken schönzureden hilft auch nicht weiter.
 
Naja grad mal 3 bugs,die absulut unwichtig sind....wir wollen ja mal nicht von IE reden.. mfG
Ex!Li
 
@Ex!Li: Oh, will da jmd einen Browserkrieg provozieren? Die News handelt von Mozilla Produkten. Das hat überhaupt nix mit dem IE zu tun, oder?
 
@Ex!Li: stimmt, weils dieses mal die alternativen sind...
 
@Ex!Li: Es sind nur 3 bekannte Holes. Und du meinst das ist alles.
 
Als ich das gestern auf meine Seite postete, dachte ich mir schon, dass es hier wieder rund geht. Übrigens, K-Meleon ist davon nicht betroffen, auch nicht der mit der Gecko-Engine 1.7.5 (0.9RC1)
 
Warum denkt jeder, dass Programme Bugfrei sein können? Es gibt immer wieder Lücken, die entdeckt werden und die wieder geschlossen werden. Das wichtige ist eben letzteres. Je schneller desto besser. Ihr wollt mir doch nicht sagen, dass ihr so naiv seit zu glauben, dass Firefox oder die Mozilla Suite Bugfrei wäre.
 
@The_Jackal: solche leute gibt es aber leider, vorallem wenn wieder fehler in anderen browsern bekannt werden :)
 
@The_Jackal: Nö aber im gegensatz zu MS tut Mozilla was gegen sicherheitslücken. dort liegt der Unterschied drin.
 
@The_Jackal: Da kann ich Dir nur zustimmen. Ich versteh auch nicht wieso immer wieder der Browserkrieg neu aufgelegt wird ? Diese schxxx Möchtegern-Freaks die
förmlich nach Security-Bugs suchen um sie auszunutzen - DIESE Leute sind das eigentliche Problem. Die machen auch keine Unterschiede bei ihren Attacken.
Wenn sich etwas Neues anbietet - dann wird meist auch ziemlich schnell ein Exploit
dafür auf die Reise geschickt. Sonst müßte ich mich nämlich gar nicht erst damit auseinandersetzen. Ich sag das jetzt noch mal - nur damit wir das "Problem" nicht aus den Augen verlieren. Aber was rege ich mich überhaupt auf - selbst mit der bugbehafteten Mozilla oder FireFox-Version bin ich immer noch 10x besser unterwegs als mit dem Original. Gefundene Bugs tragen nur noch mehr zur Gütereinheit bei. Ich kann damit leben...
 
@The_Jackal: Schau mal in die Datenschleuder $82 (oder 81?) unter dem Artikel "Kontrollierter Ausstieg aus Unix bis 2038 - Ein Masterplan", da werden Techniken vorgestellt die durchaus zu Schaffung sehr zuverlässiger und ziemlich fehlerfreier Systeme geeignet sind.
 
hoffentlich kommen so ne meldungen jetzt nicht monatlich wie in anderen häusern üblich. aber eins ist klar: je mehr nutzer ein prog in verwendung haben desto eher fallen fehler auf. open source ist da keine ausnahme und deren programmierer genauso wenig götter wie MS-programmierer. FF würde, bei einer verbreitung wie dem IE, einer ähnlichen masse an kritik ausgesetzt, die bugs würden genauso schamlos ausgereitzt werden. machen wir uns da mal nix vor und spielen buffer overflow-bugs runter. und eine logdatei über downloads brauch ich ganz bestimmt nicht. am ende gibts noch progs, welche diese dateien auswerten. aber dafür gibts ja MS-antispyware zeugs...
 
@DerKleineKlaus: Das ist es ja gerade weswegen ich persönlich Mozilla-Technik
einsetze. Selbst mit öffentlich bekannten Quellcode sind in den letzten 6 Monaten relativ wenig Bugs bekannt geworden. Ich zumindest halte das für ein Argument.
 
@DerKleineKlaus: Niemand spielt Buffer Overflows herunter, schon gar nicht die Entwickler. Es sollte hinreichend bekannt sein, dass man Software, die in irgendeiner Weise mit dem Internet zu tun hat, ausschließlich in der aktuellsten Version verwenden sollte. Dies ist bei Firefox die Version 1.0, welche seit dem 9.11.2004 draußen ist und diese Lücken nicht enthält. Heruntergespielt wird da gar nichts.
 
Der punkt ist doch , wieviele und wie gravierende luecken es sind und vorallem wie schnell sie geschlossen werden! Mozilla -> sehr wenige und weniger katastrophale als beim IE und wenn, dann sehr schnell behoben. IE -> seit Monaten/Jahren bekannte Luecken die bis heute nicht zu sind!! Das und nichts anderes ist der springende punkt, wer irgendwann mal gesagt oder auch gedacht aht Mozilla produkte seien perfekt und unfehlbar, der war und ist nur naiv gewesen mehr nicht.
 
@zaq: hinterher hört sich das mit der perfektion immer anders an , wenn dann doch was gefunden wird...aber naja.
 
@bond7: Wer will hier schon Perfektion ? Gibts eh nicht. Wir wollen doch einfach nur das Beste was wir kriegen können. Mehr können wir eh nicht verlangen. Und solange
ich das kostenlos bekomme - werde ich mit ein paar gelegentlichen Bugs noch
leben können. Solange das nicht ausartet, und schnell behoben wird soll es mir
relativ egal sein.
 
Na toll...Da wechselt man endlich von IE auf Mozilla wegen den vielen Sicherheitslücken im IE, nun geht das mit Mozilla auch los. Wer macht eigendlich noch vernünftige Programme die man auch mit ruhigem Gewissen benutzen kann?
 
@husky046: notepad....
 
@husky046: Ich versteh euch nicht! Es zwingt euch keiner Programme zu benutzen oder ins INet einzusteigen! Es ist unmöglich beim Programmieren an alles zu denken! Ausserdem sind IE & Mozilla riesige Projekte da kann doch mal ein Bug runterhüpfen!

Aber bitte ned schon wieder ein Browserkreig!!!!!!!!!!!!!
 
@husky046: Bleib trotzdem dabei. Beim IE6 liegt hauptsächlich am strukturellen
Aufbau und Konzept weswegen dieser Browser anfälliger ist. Und natürlich ist er
DER Windows-Browser. Und solange kein Wunder geschieht, wird das wohl auch
so bleiben. Will heißen: FireFox & Co. bleibt eine Alternative. ALLEIN DAS
macht ihn ja eigentlich schon sicherer. SICHERER wohlgemerkt. Nicht perfekt.
Aber eigentlich dürfte die Wahl nicht schwerfallen. Beim IE wirst Du auf jeden
Fall im Netz irgendwann Probleme bekommen - wenn es abseits der Mainframe-Pfade
geht noch eher. So sind ja die Fakten. Also...
 
@husky046: Ist Dir bekannt, dass Du, falls Du die aktuellste Version benutzt, gar nicht betroffen bist? Ist Dir bekannt, dass Du, falls Du nicht die aktuellste Version benutzt, nachlässig handelst? Dass Internet-Software, egal ob Browser oder Mailclient, immer in der aktuellsten Version benutzt werden sollte, dürfte inzwischen jeder wissen.
 
Da lob ich mir doch mal wieder einen Browser, dessen Namen ich bewusst hier gar nicht erst nennen will, auf seine Firmenpolitik. Weil jeder öffentliche gemachte Bug verführt die Scriptkiddis zu Attacken und ebenso eingefleischten Fanatiker zu überflüssigen Kommentaren.
 
Aus Fehlern lern man, so auch aus Bugs. Ich finde Leute, die sich die Mühe machen, Programme nach Fehlern, Lücken absuchen um sie zu stopfen (!) , verdienen unseren Respekt! Egal ob sie nun am IE, FF, oder etc. arbeiten. Denn die wenigsten könnten überhaupt ein solches Programm so schreiben, noch den Quelltext verstehen. Also streitet euch weiter um IE oder FF, macht eine Toplist auf, Wertet Stats aus: vom Quelltext und der damit verbundenen arbeit habt ihr ja eh nix am Hut. Mir wurde damals immer gesagt:

Wenn man keine Ahnung hat, einfach mal Fresse halten.

MfG
 
@Neolein: Genau da liegt das Problem. Es gibt leider genügend Leute die Bugs aus anderen Motiven aufstöbern und "nutzbar" machen. Über die sollten wir uns eigentlich aufregen. Und solche Leute gehören eigentlich auch gebrandmarkt.
 
Ganz allgemein zum Thema Sicherheitslücken: Ich finde es ja auch immer "schrecklich", wenn wieder Sicherheitslücken bei Windows, IE usw. auftauchen. Aber ich muss ehrlich gestehen, dass ich 99% davon gar nicht verstehe und mir bei ziemlich genau 100% der Lücken noch nichts passiert ist. Ich lese hier nur immer, dass das ja wieder typisch MS sei und sowieso ganz gefährlich. Hier kam noch kein Kommentar von jmd. der wirklich durch so eine Sicherheitslücke betroffen war.
 
@Ernst Gemeint: Windows hat ja leider einige Automatik-Funktionen die unbemerkt
im Hintergrund laufen. Und leider ist es auch wirklich so das die Grundeinstellungen
der NT 5.x nicht die Besten sind. (Und damit meine ich jetzt nicht die XP-Luna Oberfläche nach der Installation).

Die ActiveX-Technologie beispielsweise hat eine Menge Ärger gebracht für MS. Diese PlugIn-Technologie des IE gehört noch gehörig überarbeitet. Vielleicht wird es dann mal anders. Bis dahin ist die ganze Sache nur mit Vorsicht zu "geniessen".
Und was bleibt dann noch ausser Ausweichen auf andere Browser, Abschalten von Web-Funktionen oder gar dem völligen Fernbleiben vom Web ? Viel schlimmer als
das ewige Patchen ist diese ewige Ungewissenheit was da wohl noch alles kommen
könnte. Kein Wunder das da der IE an Usern verloren hat. An zweiter Stelle der Nervskala kommt dann gleich das ewige "informiert bleiben". Das geht mir auch
ziemlich auf den Senkel. Wenn man mal 3 Wochen offline war kann ein unvorbereites
Einsteigen ins Web durchaus mal schlimme Folgen haben.
 
It's not a bug, it's a feature!
 
@Hessebauer: Eine sehr zusammenhanglose Stellungnahme.
 
endlihc auchmal bugs bei mozilla :D
 
@Meatwad: Eine sehr zusammenhanglose Stellungnahme.
 
es geht los
firefox,das objekt der Begierde
 
@Tee-onlein: Richtig, Firefox 1.0 ist das Objekt der Begierde. Jeder, der aus Nachlässigkeit noch eine ältere Version benutzt, sollte Firefox 1.0, der seit dem 9.11.2004 draußen ist, begehren und installieren, und schon ist das Problem gelöst.
 
@alle: Es war so schön ruhig um Mozilla geworden ich hab das richtig genossen, und jetzt geht das gezanke wieder los.
 
@alle kommentare von installer: wo hast du denn her, das FF1.0 nicht betroffen ist? in der news steht, man sollte FF1.0 benutzen um das risiko zu begrenzen, das heist aber nicht das er nicht betroffen ist. wenn ich mir die berichte auf secunia.com anschaue steht da folgendes "" The vulnerability has been confirmed in Mozilla 1.7.3 for Linux, Mozilla 1.7.5 for Windows, and Mozilla Firefox 1.0. Other versions may also be affected."" also ist FF1.0 doch betroffen oder ???
 
@species: Er hat nicht ganz recht, aber das NNTP Problem ist bei FF 1.0 nicht vorhanden, die beiden anderen lücken sind nebensächlich.
Wer ganz sicher gehen will sollte ne nightly nehmen,
http://forums.mozillazine.org/viewtopic.php?t=196475&sid=5fd9f63051d34608325c483c84e70fe6
 
@LuZi: Mein Browser weist diese lücken auch nicht auf......
 
Was sagt uns das? Der Mensch ist nicht unfehlbar, also auch seine Software nicht, ganz gleich aus welcher Hirnen sie stammt und welches Firmenlogo drauf klebt.
 
@Friedrich_Wilhelm: schauen wir mal in die nächsten securitynews eines anderen webbrowsers ob du da auch so verallgemeinernde worte auf dem zünglein hast , was ich aber bestimmt bezweifle...
 
@ bond7: Von meiner Objektivität kannst du dir gerne eine Scheibe abschneiden ,) ... "WIR" würden uns sehr darüber freuen.
 
danke , aber von dein dauernd gelöschten postings muss ich mir nichts abschneiden... *mfg*
 
@bond7: Wahrnemungsstörungen kann man heute gut behandeln... aber bei dir bin ich mir nicht so sicher... spiel doch noch ein wenig mit deinem IE und geh dann ins Bettchen. Troll.
 
und damit dürftest du wieder eine löschung provoziert haben...gut gemacht !
 
@ bond7: Wohl wissentlich, dass es für dich eine Art Ersatzbefriedigung ist. Gern geschehen... Troll.
 
@bond7: Du scheinst dich ja sehr darüber zu freuen das Gecko ein paar Sicherheitslücken hat, nur hat von uns Gecko Usern niemals jemand behauptet es würden keine existieren, die Security Policy von Mozilla ist sehr viel besser als die vom MS, die kritische Lücke ist in aktuellen Versionen nicht mehr vorhanden, die anderen beiden sind nebensächlich. Und wer aktuelle Nyghtlys nutzt leidet unter keiner der angegebenen Sicherheitslücken. Also, erst mal informieren bevor du dummschwatzt!
 
@LuZi : "die Security Policy von Mozilla ist sehr viel besser als die vom MS" , ich würde mal sagen da bekleckern sich beide nicht unbedingt mit ruhm...
 
@ LuZi: Wenn man sich informiert, kann man doch nicht mehr dummschwatzen... verstehst du das denn nicht? "g"__-.....___.....__-
 
Ich verstehe das nicht.Mein Freund hat mir Firefix drauf gemacht.Was kann mir denn jetzt passieren???????Kann mir das mal wer genauer erklären????Bitte!!!!!
 
Das ist der lebende grund warum ich niemandem ff installieren werde.....
 
@ species: als ich den internetexplorer noch drauf hatte,war mein pc immer kaputt mit würmer (sagt mein freund).mir firefoks ist mir das noch nie geschehen.
 
da wird wohl die auswahl der geöffneten webseiten eine grosse rolle gespielt haben..
 
@Kirschsaft: .... und der virenscanner (wenn vorhanden) funktioniert mit sicherheit auch nicht richtig....
 
Ich entschuldige mein schlechtes deutsch,ich komme nicht von hier.
 
@Kirschsaft: Ich würde dir ja gerne helfen, aber ich hab keine ahnung von firefox, und will auch ehrlich gesagt keine ahnung davon haben. aber ich denk dir wird irgeneiner von den vielen fans helfen.
 
@species: Tu mal nicht so überheblich... schon garnicht wenn du keine Ahnung hast.
 
@Friedrich_Wilhelm: Ich hab nur gesagt, das ich von FF keine ahnung habe, aber geholfen hat dem armen kirschsaft immer noch keiner.....
 
Ich habe etwas amüsiert die ganzen Kommentare gelesen. Das Thema Browser scheint halt einfach sehr emotional zu sein. :-) Zum Thema: Die Lücken sind wohl nicht allzu gefährlich. Die gefährlichste ist wohl die NNTP-Lücke. Zum Teil sind sie ja auch schon gefixt. Was mir fehlt ist die klare Information für den (normalen) Endbenutzer welche Version von welchem Produkt nun von welcher Sicherheitslücke betroffen ist und was er allenfalls nun tun muss oder eben nicht. Dies zeigt z.B. klar der Kommentar [20] von Kirschsaft gleich oberhalb. Fazit: Auch Open Source Programmierer kochen halt nur mit Wasser. Sicherheitslücke bleibt Sicherheitslücke. Da gibt es nichts schönzureden. Das gilt sowohl für Open Source Produkte wie auch für die Produkte eines grossen Software-Herstellers (um niemanden zu provozieren möchte ich den Namen hier nicht nennen). Murphys Gesetz: "Ein Computerprogramm tut, was Du schreibst, nicht was Du willst."
 
@swissboy: Ich stimme dir natürlich zu.Mein bevorzugter Browser bleibt trotzdem neben Opera der Firefox. Aber im Grunde hast du natürlich recht, nichts ist unfehlbar. Mir ist es wichtig, dass erkannte Sicherheitslück schnell und konsequent gestopft werden. Da bin ich bei Firefox etwas besser aufgehoben.
 
Leichte und schwere Lücken gab es früher, gibt es heute und wird es in Zukunft geben. Behoben wurden sie bereits... bekannt sind sie noch länger (winfuture ist etwas lahm). Auch mit den nächsten Versionen werden Fehler auftauchen und auch diese werden behoben werden. Der offene Source bringt die Entwickler in die Verantwortung die Fehler zu beheben und das haben sie getan. Wer nun mein Opera sei besser... dort wurden seit der letzten Stable auch schon wieder schwere Feher gefunden... bei einer 7er Version die eigentlich schon ausgereifter sein sollte. Und dennoch werden auch bei Opera und MSIE genauso wie bei $Mozilla, Safari und Konqueror etc in Zukunft Fehler gefunden. Nur das die CSS Browser Fehler vertuschen bzw Fehler verheimlichen können. Wenn man überlegt wieviele Fehler doch bei Opera gefunden obwohl der Source nicht offen ist. Da kann man gleich OSS Produkte einsetzen. Wenn man nun diese Fakten berücksichtig: MSIE? Nein Danke, technologisch extrem rückständig, ergonomisch kaum brauchbar. -> MSIE Aufsätze? Nein Danke, technologisch da nur Aufsatz noch immer rückständig aber weit ergonomischer auch wenn MS CEO behauptet das diese Anbieter sich nie lange halten weil niemand der MSIE USer diese Funktionen benötigt. -> Opera? Vielleicht, aber Werbung im Browser? Und dann noch je nach Geschmack weit überladen und eben nicht das was viele wollen, ein Standalone Produkt. -> Mozilla? Vielleicht, aber 'veralterte Oberfläche und Programmstruktur? -> Firefox? Schon eher... technologisch up2date, ergonomisch der Zeit entsprechend und frei verfügbar. Andere Browser sind mal aussen vor da sie entweder derzeit noch nicht plattform unabhängig sind bzw Textbrowser sind die dann doch in eine andere Kategorie fallen.
 
naja, ich denke mozilla darf sich das auch mal erlauben :-D vom IE sprechen wir erst gar nicht
 
@amorosicky: Nun mal existierende Sicherheitslücken schönzureden hilft auch nicht weiter. Ein bisschen mehr Objektivität könnte nicht schaden.
Kommentar abgeben Netiquette beachten!

WinFuture Mobil

WinFuture.mbo QR-Code Auch Unterwegs bestens informiert!
Nachrichten und Kommentare auf
dem Smartphone lesen.

Folgt uns auf Twitter

WinFuture bei Twitter

Interessante Artikel & Testberichte

WinFuture wird gehostet von Artfiles