Mozilla und Firefox mit neuer Sicherheitslücke

Internet & Webdienste Wie gestern bekannt wurde, enthalten die Browser Mozilla und Firefox eine neue Sicherheitslücke. Durch einen Fehler bei der Implementierung von Javascript kann bei Ausführung der Replace()-Funktion ein Teil des Hauptspeichers ausgelesen werden. mehr...

Diese Nachricht vollständig anzeigen.

Jetzt einen Kommentar schreiben
 
Hmm. Nen bisserl offtopic, aber die Probleme mit Sun Java in Sachen Applets sind auch sehr nervig. Ob mit IE oder FF, bestimmte Applets bestimmtert Seiten machen nur Probleme... http://www.hermespaketshop.de/ und dann Paketshopsuche - funzt nicht...
 
@Hirschgoulasch69: also bei mir funzt die paketshopsuche, mit IE und auch FF evtl. solltest du mal dein java updaten...
 
@Hirschgoulasch69: stimmt, funktioniert eigentlich...
 
@axxis262: ist die 1.5.0_02, Vorgängerversion sauber deinstalliert, geht halt nicht
 
Anzumerken sei hier nochmal, daß die aktuellen Nightlys - sowohl vom 1.1 Trunk als auch vom Aviary-Branch (sprich, die kommende 1.03) diese Lücke nicht mehr haben.
 
@NewRaven:
Steht doch schon im Artikel...
"In den aktuellen Entwicklungsversionen soll der Fehler aber bereits behoben sein. "
 
Stimmt, hatte ich überlesen, sorry. :( Er soll übrigens nicht nur, er ist behoben :)
 
Nightly-Builds sind aber Entwicklungsversionen, also im Prinzip Betas und sind nicht für den normalen Endanwender gedacht. Sie werden richtigerweise auch nur von ganz wenigen installiert. Ich wundere mich das es bei Mozilla keine offiziellen Patches für solche Sicherheitslücken gibt. Nun wird der normale Anwender wohl bis zum offiziellen Erscheinen der Version 1.0.3 (in einem Monat?) warten müssen bis er die Lücke gefixt erhält. Damit steht Mozilla nicht besser als die Konkurenz da.
 
@Swissboy: Naja, dem letzten Satz stimm ich nicht ganz zu: zwischen einem Monat und teilweise Monaten oder gar Jahren besteht wohl IMO ein Unterschied. :) Generell hast du aber Recht: es kann eigentlich nicht sein, daß so eine augenscheinlich schwere Lücke bereits gefixt ist, dieser Fix aber nur für/in Versionen zur Verfügung steht, die eigentlich für Entwickler/Tester und nicht für Endanwender gedacht sind. Je nach Schwere der Lücke aus Sicht von Mozilla.org wird vielleicht ja noch eine Zwischenversion eingeschoben - ein Patch, der einfach per Auto-Update kommt, wäre wohl trotzdem der bessere Weg, weil man dann wahrscheinlich deutlich schneller deutlich mehr User erreichen würde.
 
@NewRaven: Eben, und dann geht wegen einer Zwischenversion das ganze Prozedere mit Releasen und für den Anwender eine komplette Neuinstallation von vorne los (man stelle sich vor was das für Firmen bedeutet). Was die Reaktionszeiten betrifft siehe: http://www.pcwelt.de/news/software/108952/
 
@swissboy: Anscheinend nehmen viele Firmen auch das in kauf, denn wie schon mal berichtet, steigt der Firefoxnutzer in Firmenkreisen stetig. Scheint so, als würde man das ganze nicht so dramatisch sehen. Du musst natürlich gleich wieder die Gelegenheit am Schopfe packen und den Firefox komplett in frage stellen. Tztztz
 
Ja, aber in diesem PC Welt Bericht von den "gefixten" Lücken wird auf Nightlys ja garnicht eingegangen, denn es ist fakt, daß Mozilla/Firefox/Thunderbird-Sicherheitslücken meist (!) innerhalb von 7 Tagen (meist dauert es maximal 2) gefixt sind. Und Nightlys gibts vom IE nicht, insofern ist der Vergleich irgendwie Unsinn. Aber bitte, jetzt keinen Browser-War... am Ende sind sowohl IE als auch Opera als auch Firefox/Mozilla-User nicht glücklich über Lücken in der Software, die sie tagtäglich einsetzen und folglich sollten diese so schnell wie möglich korrigiert werden - auch für die breite Masse - und genau darum - und nicht darum, welcher Browser besser ist - gehts hier :)
 
@kirschsaft: Ich stelle Firefox nicht kompett in Frage, nur dessen Update-Politik, im Speziellen das gänzliche Fehlen von Patches für solche gefährlichen Sicherheitslücken. Hier besteht meiner Meinung nach eindeutig Verbesserungsbedarf.
 
noja über eine richtige update funktion währ ich auch nicht unglücklich. mich nervt das langsam bereits privat immer wieder die ganze installation auszuführen. da is der IE doch einiges komfortabler. aber anyway hauptsache die sachen werden gefixt und man wartet nicht jahre drauf ...
 
@NewRaven: Der Vergleich ist keineswegs Unsinn. Für den Endanwender zählt doch nur wann eine Sicherheitslücke für ihn tatsächlich auch endgültig beseitigt ist. Nightly-Builds dürfen da zu Recht nicht berücksichtigt werden, da sie für ihn irrelevant sind.
 
@Swissboy: Nicht unbedingt! Wenn ein Endanwender ein bestimmtes Problem mit einer Software hat und dieses Problem in einer nachfolgenden Beta-Version behoben ist, wird er diese auch im Regelfall einsetzen - ganz unabhängig, ob Bildbearbeitung, Mailprogramm, Browser oder sonstwas. Ich kann verstehen, wenn jemand keine Nightlys einsetzen will, denn das kann, gerade beim Trunk natürlich auch nach hinten losgehen. Beim Branch ist diese Gefahr aber absolut minimiert. Wenn ich nun also Funktionen nutzen will, auf die genau diese Lücke Auswirkungen hat und ein einigermaßen sicherheitsbewußter Anwender bin, dann nutze ich diese Nightly in der dieser Fehler behoben ist. Das soll nun nicht heißen, daß jeder Nightlys nutzen soll - bei Gott nicht - aber wenn in einer Nightly ein Bug behoben ist, der mir persönlich Probleme verursacht, ist das wohl die sinnvollste und logischste Handlung. Genau diese Möglichkeit gibts beim IE aber nicht - und deswegen ist der Vergleich Unsinn.
 
@NewRaven: Du kannst von einem normalem Endanwender nicht verlangen das er sich mit Nightly-Builds herumschlägt. Auch Firmen werden kaum Nightly-Builds einsetzen. Das ist auch nicht der eigentliche Zweck der Nightly-Builds. Das weisst du so gut wie ich und deshalb war dieser Vergleich absolut korrekt. Wenn offiziell Patches angeboten würden sähe die Sache ganz anders aus. So wie Updates jetzt angeboten werden (als komplette Releases) ist die Situation nicht befriedigend. Da muss sich Mozilla dringend etwas einfallen lassen.
 
@NewRaven: es gibt nicht für jeden bug der bei irgend einem anwender auftaucht gleich eine neue betaversion , so darf man das nicht auslegen wenn man probleme nicht beschönigen , zerreden oder verschweigen will.
 
@Swissboy: Im Fazit geb ich dir Recht, dennoch bleibe ich dabei, daß es deutlich besser ist, wenn es überhaupt einen Fix gibt - und sei es nur in einer Nightly Build - als wenn ich bis zum nächsten Patch-Day warten muss. Und genau deshlab ist dieser Test IMO unsinnig. Das das ganze nicht ausreichend ist - gerade für Endanwender - ist unbestritten.
@bond7: du hast nicht verstanden, was ich meinte. Ich versuche nichts zu beschönigen, aber: wenn ich als Anwender ein Problem mit Anwendung xy habe, die ich aber - warum auch immer - unbedingt benötige und erfahre vom Hersteller, daß es eine Beta-Version gibt, in der genau dieser Bug behoben ist, setze ich sie im Regelfall ein
 
@NewRaven: nurma so zur info, der browser den ich verwende hat ein funktionierendes updatesystem . direkt beim browserstart wird der user darüber informiert das neue release runterzuladen. es wird dabei nur die programm.exe automatisch getauscht, mit anschliessender restart-automatik :) (namen lass ich absichtlich mal weg)
 
@NewRaven: Ein Nightly-Build ist aber kein Fix sondern ein kompletter Release (bestenfalls ein gefixter Release), das ist ein grundlegender Unterschied. Das sollte man nicht vermischen. Was den Bericht betrifft: Da scheinen wir schlicht verschiedene Sichtweisen zu haben, also lassen wir es besser dabei bewenden.
 
@bond: Und was, wenn mal eine Lücke in einer zugehörigen DLL auftritt? Dann wird nur die EXE aktualisiert? Bestenfalls eine Aufsatz - wenn überhaupt, kommt ohne zugehörige Bibliotheken aus, welche ebenfalls Angriffsfläche bzw. eine potentielle Buggefahr bilden.
@swissboy: wenn der IE bei schweren sicherheisttechnischen Bugs jedesmal komplett geupdatet würde und auch nur 5 MB groß wäre, wäre das den Usern wohl ebenfalls lieber, als wenn die Bugs bestehen bleiben. Was ist denn der Branch, hm? In diesem Fall die Vorgängerversion (in diesem Fall genauer gesagt die 1.0/1.01/1.02) bzw. im Normalfall natürlich ein zu einem bestimmten Zeitpunkt "gekappter" bzw. entnommener Trunk, in der alle bis dahin bekannten Bugs beseitigt werden um daraus einen Release zu machen ^^ Insofern ist mir deine Logik nun absolut nicht nachvollziehbar. Wie gesagt, ich stimme dir nach wie vor zu, daß einzelne Patches, die sich per Autoupdate installieren und ggf. nur einige KB groß sind, sicher sinnvoll und wichtig wären und diese auch für die aktuellen Enduser-Builds schnellstmöglich bereit gestellt werden sollten - das war's dann aber auch. Rest: siehe meine letzten Kommentare. Und zum Bericht: Man muss glücklicherweise nicht überall einer Meinung sein :)
 
@NewRaven: Es geht ja primär nicht um die Grösse sondern um den Aufwand für die Installation (denk an eine Firmenumgebung). Zudem treten fast bei jeder neuer Version bei einigen Installationen Inkompatibilitäten mit Extensions oder gar zerschossenen Profilen auf. Daher fordere ich echte Patches bzw. Updates.
 
@Swissboy: Für Firmen: der Aufwand dürfte kaum unterschiedlich sein. Welche Firma läßt schon Auto-Updates zu? Und soviel ich weiß, sind die Mozilla-Files (die Setups) immer Setups ohne Möglicheit sie durch externe Systeme/Server zu installieren (korrigiert mich, falls ich mich irre) und mit 7-Zip komprimiert. Wie sollten die Patches denn dann effektiv verbreitet werden, ohne, daß ganze Publishing-System der Mozilla-Produkte umzustellen? Den Usern Zips mit Patches zuzumuten, die er selbst kopieren muss - dann kann er auch gleich neu installieren. SFX-Archive oder Autopatcher, die er selbst ausführen muss? Das selbe in grün. Alles andere - was per Fernwartung zu installieren wäre - würde wohl eine komplette Umstellung bedeuten und ggf. auch kosten Verursachen. Desweiteren stellt sich die Frage, ob das Problem mit inkompatiblen Extensions (die im Regelfall auf einem Firmenrechner eh im seltensten Fall was zu suchen haben, da jede Extension ein potentielles Risiko darstellen könnte - und das gilt es ja in Firmenumgebungen zu minimieren...) oder zerschossenen Profilen nicht auch schon beim Update einzelner Files (sprich: patchen) auftreten würde? Außerdem treten diese Probleme auch bei den Wechsel zwischen den normalen Releases auf und sind nun absolut nicht nur nightly-bezogen. Also wären die Patches/das Autoupdate wahrscheinlich eh nur Privatuser sinnvoll bzw. würden in Firmen keinerlei Vorteile - weil so wahrscheinlich nicht realisierbar - bringen. Ich persönlich kann sagen, daß bei mir jede Extension nach Version 1.0 - und ich setze viele ein - auch noch - natürlich nur, wenn es die jeweils neueste Version ist, mit den Branch-Nighty-Builds bis zum Nachfolgerelease funktioniert hat. Und mein Profil hab ich mir bisher in all den Jahren genau einmal aufgrund einer fehlerhaften Installationsroutine einer Extension zerschossen.
 
@NewRaven: Zitat: "Wie sollten die Patches denn dann effektiv verbreitet werden, ohne, daß ganze Publishing-System der Mozilla-Produkte umzustellen?" Nun kommen wir langsam auf den Punkt. Meiner Meinung nach hat Mozilla was Patch- bzw. Update-Managment betrifft einen kapitalen Designfehler gemacht der sich nun langsam zu rächen beginnt. Es war wohl nicht vorgesehen Finals in so kurzen Abständen releasen zu müssen. Nun werden sie aber durch kritische Updates genau dazu gezwungen und das wird schnell mal viele verärgern wenn das im gleichen Tempo wie jetzt weitergeht und nichts dagegen unternommen wird.
 
@swissboy: Ja, nur ist das eben jetzt auf die schnelle nicht zu ändern und in dem Fall bin ich über einen Fix in einer Nightly 2 Tage später deutlich dankbarer, als wenn ich einen Monat oder länger auf das nächste Release (oder den nachsten Patch-Day) warten muss. Und nur darum gehts mir. Wie gesagt, ich bin absolut deiner Meinung, daß kleine Patches möglichst per Auto-Update absolut sinnvoll und wichtig wären - auch für die aktuellen Enduser-Builds - und statt das ein Bugfix-Release nach dem anderen kommt, lieber gepatcht wird, aber solange das so nicht realsiert oder realisierbar ist, ist das momentane Verfahren deutlich besser als nichts - gerade bei so kritischen Lücken. Nochmal: das heißt nicht, daß jetzt jeder alle Nightlys installieren soll - siehe o2 re:11
 
@NewRaven: Das Nightly-Builds keine echte Alternative sind haben wir in den obigen Kommentaren schon zur Genüge ausdiskutiert. Nightly-Builds sind nun mal nicht für den Endanwender und den produktiven Einsatz (in Firmen) gedacht bzw. gemacht und das ist auch gut so. Im Moment bleibt Mozilla bei kritischen Updates nichts anderes übrig als in (möglicherweise) schneller Folge Finals zu releasen. Das heisst die Releasefolge wird praktisch durch entdeckte Sicherheitslücken aufgezwungen statt das sie dem Entwicklungsplan folgt.
 
@Swissboy: Richtig, vollkommen korrekt. Weder der normale Enduser noch Firmen haben da im Moment eine andere Möglichkeit, als auf ein neues Release zu warten und das ist traurig genug - da sind wir uns einig - ebenso wie bei der generellen Notwendigkeit von Patches. Trotzdem existieren diese Nightlys nunmal und ein versierter(!) Privatanwender (!), der ggf. genau durch diese Lücke Probleme zu befürchten hat, tut sicher gut daran, in diesem Fall auf eine aktuellen Nightly des Branchs zu switchen. Siehe wieder o2 re:11 :) War übrigens nett hier auch einmal so eine Diskussion ohne Flames und kindisches "XY ist viel besser" Geprahle führen zu können. Danke :)
 
@swissboy: Nein, haben sie nicht. Bei Mozilla 1.7 seit der 1.7.5 hast du ein vollständig ausgereiftes Management-API. Für Normal-Nutzer verborgen, für Admin extrem brauchbar.
 
@NewRaven: Für Mozilla mag das gelten, aber eben (noch) nicht für Firefox. Und da liegt genau das Problem, weil Firefox schon jetzt weit verbreiteter ist als Mozilla und die Tendenz weiter ganz klar in Richtung Firefox geht.
 
Noch anzumerken ist :
Der Fehler wurde 2000 (und nicht 2003) zum Teil behoben):
" ______- Additional Comment $6 From Brendan Eich 2005-04-01 17:49 PDT [reply] ______-

BTW, this bug is like 8+ years old. Roger Lawrence fixed half of it in 2000:"
 
@Nightdive: das zum thema schnelles bugfixing :D
 
War ja klar alle haben an ie rum gemekert aber jetz kommt die selbe scheiss bei mozilla und deswegen benutz ich opera da werden die sicherheits lücken wenigstens schnell gefixt
 
@hiton: Was macht Dich da so sicher? Würde mich echt interessieren. Im Ernst: Solange Software von Menschen gemacht wird, kann so eine Aussage niemals beweisbar sein. Aber mit so einem Beitrag war zu rechnen... PS: Satzzeichen und Großbuchstaben beißen nicht.
 
@hiton: Und beim Firefox (Mozilla) nicht? Liesst Du die News überhaupt zuende? Man man man "In den aktuellen Entwicklungsversionen soll der Fehler aber bereits behoben sein"
 
@wiw: ... nur hat damit der normale Endanwender nichts davon. Siehe Kommentar [o2] und Folgekommentare.
 
@swissboy: das ist mir bewusst. Mein Kom. war auf Hiltons "deswegen benutz ich opera da werden die sicherheits lücken wenigstens schnell gefixt" bezogen
 
Temporär (d.h. bis das nächste Release - hoffentlich bald - da ist), kann man das Problem umgehen, indem man nach dem Online-Banking und anderen kritischen Handlungen alle(!) Browserfenster schließt und den Browser neu startet, bevor man weitersurft. Dabei wird die Anwendung einschließlich aller Benutzerdaten nämlich komplett aus dem Arbeitsspeicher gelöscht. PS (insbesondere an eventuelle Flamewar-Fans): Nein, ich spiele nichts herunter und Ja, ich weiß, dass das nur ein Workaround ist, aber es ist besser, als nichts zu tun und verhindert den Datenklau. Vielleicht interessiert es ja jemanden...
 
@installer: sollte man auch vor dem online banking machen, wegen möglichen phising's. zumindest ich mach immer alle browser zu, öffne nur ein FF mit online-banking. danach schliesse ich die session > browser zu. und wieder frisch auf ... viel mehr sicherheit kann man ned haben.
 
@installer: Da gibt es nichts zu flamen, das ist ein objektiver und gut gemeinter Workaround-Tipp an dem es nichts auszusetzen gibt.
 
@installer: Eigentlich sollte man sich deine Ratschläge auch ohne diese Misere aneignen und das nicht ausschliesslich beim Firefox und co, sondern auch beim Internet Explorer. Mit Onlinebanking sollte man allgeimein größte Vorsicht walten lassen. Beim Internet Explorer grundsätzlich keine verschlüsselten Seiten speichern, ich glaube das ist in der Grundeinstellung eingeschaltet und sollte unbedingt ausgeschaltet sein.
 
@installer: das ist aber nur ein workaround der teilweise was bringt. schon wenn du den FF aufrufst werden einige informationen aus der HDD eingelesen, z.b. alle browserfavoriten (wurden bei secunia lesbar dargestellt) und schon weiss ein möglicher angreifer auf einer schadcode-webseite wo du überall rumsurfst... :)
 
Ich heisse nicht hilton !!
 
@hiton: Schade, sonst hätte ich gerne einmal deine Schwester Paris kennengelernt. :-)  PS: Bitte in Zukunft die Anwortfunktion (blauer Pfeil) benutzen, siehe Netiquette Punkt 13.
 
HI,
ist firefox besser als IE
 
@Black_Warrior: Darüber sind die Meinungen sehr geteilt, wie du vielleicht gleich merken wirst. :-)
 
Hoffentlich nicht, denn die Diskussion ist zu interessant, als das durch unsinniges Geflame die Kommentarfunktion gleich wieder deaktiviert werden sollte :(
 
@Black_Warrior: Du solltest den Firefox einfach mal ausprobieren, dann kannst du dir selbst ein Urteil bilden. IE & FF beißen sich weniger als deren Nutzer. :-)
 
Jungs wo liegt das Proble von wegen Updatepolitik,auf der ozilla Seite gibts bereits den RC für 1.0.3 und in den nächsten Tagen sollte die 1.0.3 folgen also schneller gehts wohl nicht oder?
 
@[U]nixchecker: Jeder Firmen-Administrator wird sich bedanken schon wieder eine komplett neue Version verteilen zu dürfen (kaum ist er mit der Version 1.0.2 fertig). Auch die ersten Heimanwender fangen schon an zu stöhnen. Wo die Probleme liegen kannst du im Kommentar [o2] und den Folgekommentaren nachlesen. Es hat keinen Sinn die ganze Diskussion jetzt nochmals hier von vorne zu beginnen.
 
@[U]nixchecker: Möglicherweise geht einigen das Fixen zu schnell :-)...
 
@money_penny: Es wäre gar nichts dagegen einzuwenden wenn es denn nur Fixes und keine kompletten Releases wären.
 
@ swissboy: Jetzt hat auch der letzte Hinterwäldler begriffen was du von der Updatepolitik hälst. Ich sehe das ganz pragmatisch: alte Version löschen, neue rauf. Fertig.
 
bei anderen software produkten kann man auch vieles pragmatisch sehen, nur sind das immernur persönliche standpunkte und diese werden meist nicht immer akzeptiert :)
 
@money_penny: Es ist stark zu bezweifeln ob das Firmen und deren IT-Verantworliche auch so pragmatisch sehen.
 
@swissboy: die Diskusion läuft in die falsche Richtung. Die Gründe "für" Firefox sind gewichtiger.
 
@All, ich seh aber trotzdem kein Problem FF hat lediglich ca 5MB zum Downloaden, wenn ich mir da manche Patches angucke, dann sind die weitaus größer, wenn es um 50MB gehen würde, dann könnte ich eure Argumente verstehen, aber bei 5MB die selbst für nen Modem User machbar sind, nicht.
 
@[U]nixchecker: Es geht doch hier überhaupt nicht um die Grösse, die 5MB sind nicht wirklich das Problem. Es geht darum das es für ein Problem wie das in der News beschriebene ein Patch bereitgestellt würde, der auch einfachste Weise (auch im Quiet-Mode) installiert werden kann (sowohl auf Einzelplatz wie auf Mehrplatzinstallationen) und der genau dieses Problem behebt. Das würde den Wartungsaufwand bedeutend verringern und die Auslieferung von kritischen Updates enorm beschleunigen.
 
Ich gebe swissboy Recht, dass es besser wäre sowohl Patches als auch Komplettreleases rauszugeben. Ich gehe aber mal davon aus, dass es in zukünftigen Releases (ab 1.5?) eine Patch-Funktion geben wird. Bis dahin werden wir wohl mit dem Manko leben müssen. Es gibt Schlimmeres. Diesen IE zum Beispiel (kleiner Flamescherz *zwinker* )
 
Wer unbedingt die Gecko-Engine benutzen will, kann doch K-Meleon verwenden, der hat die ganzen großen und kleinen Lücken der letzten Zeit nicht.
Siehe Secunia: http://secunia.com/product/3684/
 
Selten habe ich so gute Kommentare zum Thema "Browser Sicherheit" auf WF gelesen. Kein geflamme, keine Beleidigungen und kein "Ego-Browser Gehabe". Klasse!! War von mir jetzt Off-Toppic, aber musste mal sein.
 
Hab gerade den Test auf der Seite von Secunia ausprobiert. Nach mehrmaligem Klicken auf den Link hat sich mein FF mit einer Fehlermeldung verabschiedet :-(
 
http://ftp.mozilla.org/pub/mozilla.org/firefox/nightly/latest-aviary1.0.1-l10n/firefox-1.0.3.de-DE.win32.zip
... und gut is... :)
 
@BessenOlli: Danke für den Tipp (der übrigens schon in Kommentar [o2] von NewRaven gegeben wurde), aber du scheinst nicht ganz begriffen zu haben um was hier diskutiert wird.
Kommentar abgeben Netiquette beachten!

WinFuture Mobil

WinFuture.mbo QR-Code Auch Unterwegs bestens informiert!
Nachrichten und Kommentare auf
dem Smartphone lesen.

Folgt uns auf Twitter

WinFuture bei Twitter

Interessante Artikel & Testberichte

WinFuture wird gehostet von Artfiles