Lücke in Firefox, Mozilla, Camino, Netscape und IE

Software Das Sicherheits-Unternehmen Secunia berichtet, dass eine sieben Jahre alte Lücke, die im Laufe der Zeit auch andere Browser aufwiesen, nun ihren Weg in Firefox & Co. gefunden hat. Obwohl im Juli 2004 die in Firefox 0.8 entdeckte Sicherheitslücke ... mehr...

Diese Nachricht vollständig anzeigen.

Jetzt einen Kommentar schreiben
 
1.) Erster
2.) Hoffentlich bald ein Patch
3.) Bye
 
Ist doch schön das es einmal eine Sicherheitslücke gibt die fast alle populären Browser gleichermassen betrifft. :-)
 
@swissboy: Nur dumm, dass in 5 Minuten die Leute kommen werden, die wieder mit gestählter Brust in die Comments blasen: Haha, ich surfe mit Opera, das ist der beste Browser, mir kann sowas nicht passieren... bis in ein paar Tagen ne andere Lück in Opera bekannt wird, und die FF- & IE-User jauchzen. Wie das nervt.
 
@swissboy: Das werden die Firefox-Fetischisten aber gar nicht gerne lesen zumal es noch keinen Patch für Firefox gibt.
 
@ Marcus Aurelius: Das neben allen sicherheitsrelevanten Tools,Einstellungen etc. Brain vor allem gefragt ist
 
@Marcus Aurelius: Auch Programmierer sind nur Menschen und machen Fehler. Siehe erster Abschnitt im Newstext.
 
Hm, so gesehen ists beim IE ja noch nicht mal ne Sicherheitslücke da es ja ne einfache Option gibt um das Verhalten zu verhindern :) Also nur für falsche Konfiguration gefährlich
 
@talla: Nicht ganz. Denn standardmäßig ist die Einstellung aktiviert.
 
Habs eben mal getestet, die Dear Park Alpha 1 ist von der Sicherheitslücke nicht betroffen.
Trotzdem mal schön zu hören, von einer "Plattformübergreifenden" Sicherheitslücke.
 
@Vyper: Doch, die Lücke ist auch in der aktuellen trunk-build vom 06.06.2005 enthalten. Hab es gerade getestet.
 
@Vyper: Stimmt, ich habs eben nochmal getestet, ich hatte bei mir bloß eingestellt das er alle Links in nem Tab und nicht in nem neuem Fenster öffnen soll. :(
Naja, egal
 
Übrigens kann man das, soweit ich es grade getestet habe, recht einfach verhindern: Wenn man die als vertrauenswürdig eingestufte Seite in einem neuen Tab und nicht in einem neuen Fenster öffnet, gehts zumindest mit dem oben angegebenen Test nicht mehr :)
 
@tacito: das dürfte wirklich nur an dem Test mit einer manuellen Code-Injection liegen. Bei automatisch ausgeführtem Code ist es egal ob neuer Tab oder neues Fenster.
 
da steht aber nichts von opera
 
@Tiesi: vll. liegt das ja daran, dass diese Lücke bei Opera nicht existiert :-)
 
@Tiesi: Das steht bei secunia's Test, "Please note, for this example to work in Opera, the browser has to identify itself as "Mozilla" or "Internet Explorer", because "msdn.microsoft.com" will not return the same content if Opera identifies itself as Opera". also wär Ich mir gar nicht so sicher, das das Opera nicht betrifft, kannst's ja mal ausprobieren.
 
Das Patchen kann ja nun nicht das Problem sein. Die Lücke war ja mal gestopft. Mal gucken wie lange das dauert.
 
@money_penny: Allein schon die Tatsache das die gestopfte Lücke wieder offen ist, ist IMO bedenklich, man verläßt sich ja schließlich darauf das Lücken gestopft sind. Scheinbar passiert das nicht nur MS. :-(
 
Also ich habe version 1.0.4 von FF (nightly vom 28.05.2005) und der Test funktioniert nicht. Bin ich mal froh :)
 
@Danez: Gemäss Secunia sind aber zumindest die offiziellen Final Releases von Firefox 1.0.4 and Mozilla 1.7.8 betroffen.
 
@Danez: Die Nightly von Mozilla (Build ID: 2005060606) ist verwundbar, dürfte aber nicht lange dauern bis die auch nicht mehr anfällig ist.
 
@Danez: also ich habs grad mit dem IE, dem FF 1.0.4 und Opera 8.01 probiert, beim IE und FF hats funktioniert, beim Opera nicht obwohl ich immer eingestellt hab: identify as Internet Explorer.
Das ist aber echt scheisse, sonst wenn man schlau genug war hat man solche pishing mails einfach ignoriert und gelöscht, aber so würde man das ja garnicht merken, weil man ja tatsächlich auf der original seite ist.
 
@Danez: das scheint wohl an den Extensions und Einstellungen im FF zu liegen, bei mir tutst der Bug nämlich auhc nich :/
 
@Danez: Hallo, bei mir hat der Test auch überhaupt nicht funktioniert: Konqueror 3.4.0_1, Opera 8.01, Firefox 1.0.4,1 und Mozilla 1.7.8,2, alle auf FreeBSD 5.4-STABLE, ließen sich in keinster Weise beeindrucken. Weder im neuen Fenster noch im neuen Tab. Gruß, Fusselbär
 
hab das versucht aber da passiert bei mir nix was irgendwie schlecht aussieht....
wenn ich auf "inject secunia to ms..." offnet sich einfach ein neuer tab wie jedesmal und ich seh ganznormal die webseite...nix mit trusted...kann das daran liegen das ich ein paar tab extensiones installiert habe?
 
@stigmata: Ist bei mir im FF genauso, liegt wohl am Test selber, der scheint mit Tab's im FF nicht zu funktionieren. Im IE mit Tab-Plugin oder Aufsatz geht's aber auch mit Tab's. Aber im IE kann man's ja abschalten.
 
@stigmata: Wenn mich mein 15 Jahre altes Schulenglisch nicht verlassen hat, sollst Du dann das MS Fenster öffnen und da soll dann einen "Code-Mischmasch" zu sehen sein (sehe da aber nichts).
 
"Der Angreifer kann auf einer vom Anwender als vertrauenswürdig eingestuften Internet-Seite beliebige Inhalte anzeigen."

Häää! Das soll doch auch so sein. Ist schließlich als VERTRAUENSWÜRDIG eingestuft!

Oder verteh' ich hier was falsch?
 
im IE6 funktioniert es, das secunia-frame erscheint auf der MSDN webseite . wer maxthon verwendet ist aber vor der lücke geschützt, dort funktioniert es nicht ! :D
 
@zauberer: Halt Ich für'n Gerücht, bei mir funktioniert es mit Maxthon und auch mit Avant. Kann also nur eine Einstellung bei Dir sein, das es bei Dir nicht funzt.
 
@species: bei mir öffnet sich die secunia page (über den 2ten link) immer im eigenen tab...nicht in der MSDN seite...auch wenn ich link im neuen tab öffnen deaktivier.
 
@zauberer: Wie gesagt, bei mir im MAX öffnet sich die secunia page als Frame in der MSDN Seite. Das kann nur eine andere Einstellung deinerseits sein. Im FF ist's ja genauso, mit verschiedenen Tab Extensions/Einstellungen funktioniert der Test nicht. Secunia hätte noch einen Test mit automatischer code injection bereitstellen sollen, das währe IMO genauer gewesen.
 
@species: ich bin mir aber sicher das Tara das in einer der nächsten builds bestimmt abstellt , das letzte browser-übergreifende tab-problem war auch in kürzester zeit im max behoben .
 
@zauberer: Das mag sein, aber mir währe es lieber, wenn MS das Problem abschalten würde. Ich benutze schließlich auch noch andere auf dem IE basierende Software die Webseiten darstellen kann.
 
@species: Du kannst im IE das Problem ja sogar selber abschalten, siehe Newstext.
 
@swissboy: Ist klar, lesen kann Ich ja :-) Aber das abschalten fixt ja nicht die Lücke. Und die sollte MS schließen und nicht ein Drittanbieter.
 
@species: Da hast du natürlich zweifellos recht. :-)
 
@species : du musst im maxthon alle häckchen bei optionen -> reiter -> neue reiter reinmachen, dann öffnet sich jeder link im neuen tab . wenn du möchtest das sich ein link im "selben tab" öffnen soll, deaktivierst du unten ganz einfach die schnellconfig-icons...funktioniert prima. dann öffnet sich auf die secunia-page immer im neuen tab (nicht als frame im msdn).
 
@zauberer: Nö lass ma, Ich bin mit meinen Reitereinstellungen so zufrieden wie sie sind. Die Lösung aus der News ist IMO noch die beste, und gilt auch für alle anderen Anwendungen die die IE-Engine Nutzen.
 
Bei mir geht der auch net FF v1.0.4 User... mhmm oda mach ich was falsch bei dem test =)??? ähm soll doch deine eine Seite im neuen Fenster und die ander auch im neuen Fenster öffnen oder?
 
@DJ-Lucky-Lh: der Test scheint nur bei einem jungfräulichen FX (ohne Erweiterungen) zu funktionieren
 
@DJ-Lucky-Lh: Lies einmal die oberen Kommentare durch.
 
@Dexter31: Sieht so aus, was aber nicht heißt das ein FF mit ext. sicher ist. Siehe [o5] [re1].
 
Was ist eigentlich aus den anderen drei Lücken im IE geworden die mal hier in den News standen? Davon hört man auch nichts mehr.
 
@Kirschsaft: Bleiben offen bis mal ein passender PatchDay kommt... was erwartest du? Annehmbare Reaktionszeit? Sicherheitsbewusstes Releasemanagement? Verantwortung?
 
@Chuck: wie würdest du denn sicherheit verbreiten ? in zukunft nurnoch nackige textbrowser im web und mail ? ich glaub mal nicht das du alles besser bringen könntest als jemand der winXP programmiert hat.
 
@Kirschsaft: Lieber bekannte offene Lücken, als vermeintlich geschlossenen die dann doch wieder offen sind.
 
@species. Hast du da nicht die Ironietasks vergessen? Ich finde beides nicht so dolle.@chuck: Als IE-User sollte man wohl keine großen Ansprüche stellen...
 
Bei Deaktivierung von Subframes passiert bei mir bei Verwendung von OE folgendes: Wenn ich eine Nachricht beantworten will in dem ich in den erhaltenen Text etwas hineinschreibe, dann kann ich diese Antwort nicht mehr farblich hervorheben: es erscheint eine Fehlermeldung
Kommentar abgeben Netiquette beachten!

WinFuture Mobil

WinFuture.mbo QR-Code Auch Unterwegs bestens informiert!
Nachrichten und Kommentare auf
dem Smartphone lesen.

Folgt uns auf Twitter

WinFuture bei Twitter

Interessante Artikel & Testberichte

WinFuture wird gehostet von Artfiles

Forum