Sicherheitslücke in Firefox - Patch erschienen

Software Tom Ferris, tätig in der IT-Sicherheitsbranche, hat das Entwickler-Team des Mozilla Firefox vorgeblich über eine neue Sicherheitslücke in ihrem Produkt informiert, wovon sowohl Firefox 1.0.6 und Vorgängerversionen, als auch die heute herausgegebene ... mehr...

Diese Nachricht vollständig anzeigen.

Jetzt einen Kommentar schreiben
 
jo denn bleibt ma up2date was den patch angeht
 
@nixn: Wie Swissboy schreibt, gibt es wohl eine Diskussion über die effektive Beseitigung des Fehlers.
 
Schon Pech das es knapp nicht mehr gereicht hat die Lücke vor der Freigabe der Beta 1 zu beseitigen. Ob die deutsche Version der 1.5 Beta 1 wohl trotzdem in kurzer Zeit verfügbar sein wird? Es könnte ja so gehen wie mit der Version 1.0.5. Die Sicherheitslücke scheint offenbar mit der Unterstützung internationaler Domain-Namen im Zusammenhang zu stehen. Eine erste Reaktion der Mozilla-Entwickler gibt es aber inzwischen: "Die von Ferris über diese Lücke informierten Mozilla-Entwickler sind sich noch uneins, wie sie diese am besten angehen." Quelle heise: http://www.heise.de/newsticker/meldung/63746
 
ach swissboy...nachher heulst du wieder, wenn die Lücke zu schnell gestopft wird. Du weisst auch nicht was du willst, aber hauptsache man kann wieder abflamen...na dann mach mal deinen "willi" hinter jeden Post.
 
@money_penny: Nein, das mache ich schon gerade.
 
@swissboy: Die lokalisierten Builds sind jetzt abgesagt und kommen frühestens morgen, die englischsprachige Beta wäre in Kenntnis dieses Problems natürlich auch nicht gekommen.
 
@money_penny: Oh mann, was soll dieses blöde Rumgeflenne. Schau dir swissboy's Kommentar an und du wirst feststellen, es ist komplett informativ, on-topic und objektiv. Was man von deinem Posting null verlangen kann. Is ja ok, wenn du nicht jeden leiden kannst, aber bitte behalte diesen Senf für dich oder klär das woanders ab. Und lerne die Postings wie von einem anonymen zu bewerten, und nicht von wem sie kommen. Ok?
 
@ Lofote: Quatsch. Der hat nur das gebetsmühlenartig runtergebetet, was ohnehin schon oben steht.
 
@money_penny: Dann sollteste dir ne Brille kaufen. Ich seh oben weder nen heise-Link noch die Info, dass es an der Unterstützung internationaler Domänennamen geht. Daran sieht man wieder, dass es dir nur ums flamen geht, weil du offensichtlich gar nicht gelesen hast, was ergeschrieben hat.
 
endlich, da sieht man es, kein browser is frei von kritischen sicherheitslücken und nich sein wird, und ich surf gerade selber mit dem firefox! konkurrenz belebt das geschäft...und das is gut so :D
 
@I Luv Money: Problematisch ist nur, wenn die FireFox-Entwickler nicht drauf reagieren ...
 
@TobWen: Zum Glück haben sie ja schon reagiert :-)
 
@I Luv Money: keine software is frei von fehlern
 
Ja, leider (oder zum Glück) schießen sich immer mehr Leute auf den Firefox ein (IE zu einfach). D.h., der Fuchs ist jetzt endlich eine ernstzunehmende Alternative zum IE!
 
@yikrazuul: Wenn er ähnliche Lücken hat, ist es eine wirkliche Alternative :-)
 
@yikrazuul: ich find es gut so. Es gibt zu viele Deppen, deren Lebensmotto "MS ist scheisse" oder "OS ist gut, weil's OS ist" lautet. Die bekommen endlich mal Fakten.
 
@TobWen: Da müsste aber schon einiges passieren, bis Firefox so kaputt wird, daß man Frame- und Fenster-übergreifend Webseiten beliebig manipulieren kann und das nicht als Designfehler betrachtet wird.
 
Ich sag nur: Willkommen in der Realität! Hoffentlich überlegen die Leute beim nächsten Browser, was auf den Markt kommt, ob die den gedankenlos bei sich installieren und hochfeiern.
 
@araeee: Ich kann ja wirklich jede Schadenfreude verstehen, allerdings kann ich Dir sagen, dass überhaupt noch niemand weiß, ob und wie dieser Buffer Overflow ausnutzbar ist. Dazu liefert der Entdecker ja auch keine Angaben. Ohne zu sehr in technische Details zu gehen: Buffer Overflow ist kein Synonym für "Sicherheitslücke", sondern eine Bezeichnung für einen technischen Vorgang, der ausnutzbar sein kann oder auch nicht. Die meisten Buffer Overflows führen zu einem Absturz, mehr Details werden folgen.
 
Buffer Overflows sind auf x86ern nur dann nicht ausnutzbar, wenn der Stack leer ist - was bestenfalls beim Programmstart der Fall sein dürfte. Wenn's ein Heap Overflow, ein Double-Free, unzureichend abgesicherter Typecast oder eine Pseudo-NullPointer-Exception wäre, dann würde ich dir zustimmen.
 
Wie wär's, wenn ihr einfach mal den Workaroudn, nämlich das Abschalten von IDN, mit dazu schreibt? Gut, jeder, der Ahnung hat, hat es zwar ohnehin schon abgeschaltet...
 
@Rika: Gemäss heise hilft dieser Workaround aber auch nur "möglicherweise", schaden kann es aber sicher nicht.  PS: Dazu muss man in der Adresszeile von Firefox about:config einzugeben und dann die Option network.enableIDN auf false zu setzen.
 
Es funktioniert sogar mit Sicherheit. Alternativ kann man auf GreaseMonkey nehmen und einfach per Script den Exploit erkennen und entschärfen. a=document.getElementsByTagName('a'): for(b=0: b
 
@Rika: Hach wie haben wir diese Hochnässigkeit vermisst :)... "Jeder, der Ahnung hat" ist mit einer der schwachsinnigsten Verallgemeinerungen, die es gibt. Ahnung von was? Browsen? C++? Jeder, der soviel Zeit hatte, den Mozilla Sourcecode durchzustudieren? Jeder, der im Club der ich-hab-den-ganzen-tag-zeit-sicherheitslücken-zu-suchen-bzw-in-foren-mich-rumzutreiben... Egal was, auf jeden Fall ist das nichts, was mit der Muttermilch eingesogen wird, und ich denke, es lässt sich auch nicht unter Allgemeinbildung reindefinieren. Auf gut deutsch: Rechnen wir mal damit, dass 1% aller Mozilla User das abgeschalten haben, das ist evt. realistisch. Demnach ist das Sicherheitsloch als kritisch anzusehen und eine neue Version sollte schnellstmgölich rauskommen. Besser als Patch, denn ein kleiner Fix sollte nicht das Herunterladen und Deployen von ner komplett neuen Version bedeuten, aber das macht Mozilla ja bis 1.1 nicht :(...
 
Die Ahnung beziehtn sich auf IDN - wer weiß, was es ist und warum es stinkt, schaltet es ab.
 
Die deutsche Version gibts hier ftp://ftp.mozilla.org/pub/mozilla.org/firefox/nightly/latest-mozilla1.8-l10n/firefox-1.4.de.win32.installer.exe
nicht von der Datenbezeichnung ablenken lassen. Läuft besser als die 1.0.6
 
@Willforce: Das ist ein Nightly Build und keine Beta, den Unterschied hatte ich schon in der anderen Firefox-Meldung von heute morgen erklärt, und außerdem hat der den Crash auch. Der Fix dafür ist noch gar nicht fertig. Pauschal besser läuft der ganz bestimmt nicht, schließlich ist es ein Nightly Build im Beta-Zweig und nicht im stabilen.
 
@Willforce: Ich habe schon den Eindruck dass die neue Version etwas besser läuft. bei mir startet die neue version auch schneller als die 1.0.6
 
@Willforce: Das auf jeden Fall, dafür ist er aber auch weniger getestet und möglicherweise weniger stabil.
 
warten wir einfach noch etwas ab bis sich die malwareschreiber auf den FF eingestellt haben (weil es sich dann lohnt) und dann gibts leckere adware via firefox .
 
@voyager: Du weißt also, dass der Crash ausnutzbar ist. Wunderbar! Dann weißt Du nämlich mehr als der Entdecker. Dein Wissen könnte sehr hilfreich sein, um das Problem zu untersuchen und zu lösen. Aber Moment mal - welches Wissen eigentlich? Das war doch nichts weiter als einer der bekannten Flames, ohne die man auch sehr gut leben kann.
 
FERRIS MC ! :D
 
"hat das Entwickler-Team des Mozilla Firefox vorgeblich über eine neue Sicherheitslücke in ihrem Produkt informiert" __> vorgeblich?? wie ist denn das gemeint?
 
Auch wenn manche jetzt wieder rumtrollen wollen... seit der Veröffentlichung der Version 1.0 des Browser hat sich die Zahl der gefundenen Lücken pro $Zeitraum _nicht_ gesteigert. Es werden trotz massiv gestiegener Verbreitung _nicht_ mehr Fehler gefunden als in der ersten Tagen, es werden nur über mehr berichtet. Ganz das Gegenteil ist eingetroffen... die Zahl der gefundenen Fehler pro $Zeitraum geht deutlich zurück was auf einen klaren Reifeprozess des Produktes zeigt. Wer es kontrollieren will... bugzilla.mozilla.org ist euer Freund.... das nur am Rande um einigen wohlbekannten Trollen hier den Wind aus den Segeln zu nehmen.
 
@Chuck: du beschreibst das softwareprogramm wie ein stück käse , ob du damit vom eigentlichen thema ablenken kannst bezweifel ich aber .
 
@voyager: [ ] Du verstehst etwas von Software Entwicklung. Danke für deinen Beitrag.
 
https://addons.mozilla.org/messages/307259.html
 
Falls es jemand ganz genau verfolgen will: https://bugzilla.mozilla.org/show_bug.cgi?id=307259 - Fixes für Aviary (1.0-Linie) und den Trunk sind heute um 0.16 pazifischer Zeit (Kalifornien) eingechekt worden, also von hier aus gesehen um 9.16. Vielleicht gibt es neue Builds dann noch heute.
 
Der angebliche Link im Text (Link) ist kein Link :-P MfG CYA iNsuRRecTiON
 
@iNsuRRecTiON: soll er ja auch garnicht sein :-P
 
NO IDN ausgeführt :)
 
wieso ist die news von gestern, heute wieder drin? *aber egal*
wollte eigentlich mal meine meinung zu money_penny´s überaus hilfreichen kommentaren abgeben: ich kann die scheisse die du hier postest nicht mehr lesen! DU bist hier der/die einzige die hier nur am "rumflamen" ist. überall musst du deinen unqualifizierten kommentar hinterlassen und andere menschen beleidigen. DAS KOTZT MICH AN! kann mich nicht erinnern das der "schweizer junge" sowas je gemacht hat. im gegenteil. eigentlich ist er immer sehr hilfsbereit wie ich finde.
also: wenn du nicht aufhörst mit deiner "weibischen art" die leute zu belästigen, wirst du mal ´nen echten flamer kennenlernen. an alle admins: sperrt diese person bevor ich mich nicht mehr halten kann.
PS: blauen pfeil gibts leider nicht. danke
 
".....Der Sicherheitsspezialist Tom Ferris hat bereits zuvor einige Sicherheitslücken aufgedeckt, unter anderem in Produkten von Microsoft, zum Beispiel in Internet Explorer. ..." Heißt das nicht /!\ im /!\ Internet Explorer ?
 
Ja, es heißt "im"... Und? Ist es nicht scheißegal? Hast es doch verstanden...
 
Firefox 1.06 ist zum download auf http://www.mozilla.org/products/firefox/ in English
 
@unruh: LOL! Windows XP gibts jetzt auch schon! Auch deutsch!!! Die Meldungen überschlagen sich gerade.
 
Firefox ist nun auch in deutscher Sprache erhältlich
 
@unruh: ja und Telefone und Fernseher gibts auch.
Warst du länger im Urlaub, oder warum postest du solch alte kamellen.
 
Der Update-Text in der News hier ist nicht ganz korrekt. Der Workaround zum abschalten der internationaler Domain-Namen (IDN) Unterstützung (dazu muss man in der Adresszeile von Firefox about:config einzugeben und dann die Option network.enableIDN auf false zu setzen) und der breitgestellte Patch welcher genau das gleiche macht, schalten die IDN-Unterstützung ja komplett aus. Das Sicherheitsrisiko ist zwar damit behoben, aber man hat eben keine IDN-Unterstützung mehr. Dies ist somit nur eine temporäre Lösung und es ist zu erwarten dass das eigentliche Problem noch behoben werden wird, so dass die IDN-Unterstützung wieder gefahrlos verwendet werden kann.
 
@swissboy: Danke für diese überaus geistreiche Erklärung. Da wäre sicher niemand darauf gekommen, dass durch die IDN-Deaktivierung die IDN deaktiviert wird. Das Wort "workaround" im Newstext macht Deinen ganzen Kommentar vollends hinfällig.
 
@CBY: Nein, das geht nicht klar daraus hervor, lies den Satz noch einmal genau: "... ein Workaround UND eine Erweiterung, die den oben beschriebenen Fehler behebt, herausgegeben." Das Wort UND ist auch nicht ganz unwichtig. Der Fehler wird damit auch definitv nicht behoben, nur IDN deaktiviert.
 
@swissboy: siehste auch Firefox schlagen mal vor eine Funktion so lange nicht zu nutzen bis ein Patch da ist .. ein großer namenhafter Hersteller gibt sogar extra ein Patch raus um eine Funktion seines Browsers zu disablen :)
 
@balu2004: "... ein großer namenhafter Hersteller gibt sogar extra ein Patch raus um eine Funktion seines Browsers zu disablen" Genau das gleiche hat Mozilla jetzt ja auch gemacht.  :-)
 
@swissboy: Deine Antwort hätte ich vor schon posten können :D hatte mit einer besseren Reaktionszeit von Dir gerechnet :D In einem sind wir uns ja auch alle einig: mit Sicherheitslöchern ist nicht zu spassen und die gilt es so schnell wie möglich zu stopfen egal wie der Hersteller heißt.
 
@balu2004: Ja, da sind wir uns tatsächlich mal völlig einig!  :-)
 
@swissboy: Der "richtige" Patch, der gezielt den Pufferüberlauf behebt und nicht einfach IDN komplett abschaltet, ist seit gestern 9.16 MEZ eingecheckt, siehe [12][re:1], und im heutigen Nightly Build bereits enthalten. Du kannst es auch gerne selbst überprüfen und wirst feststellen, dass der letzte Nightly Build auf der Exploit-URL nicht mehr abstürzt. Dieser Patch muss allerdings noch getestet werden, weil dies aber nicht schnell genug geht, gibt es jetzt erst mal einen schnellen Workaround. Die Deaktivierung von IDN ist vertretbar, da der IE es nicht unterstützt und es somit kaum benutzt wird. Es ist übrigens noch gar nicht entschieden, ob es eine 1.0.7 mit diesem Patch geben wird, eben deshalb, weil die Deaktivierung von IDN eigentlich kein Problem ist. Die Beta 2 als auch die fertige 1.5 werden aber auf jeden Fall den "richtigen" Patch drin haben und IDN ganz normal unterstützen.
 
@installer: Ich habe nie gesagt das die Deaktivierung von IDN nicht vertretbar ist, ich habe nur diese Tatsache festgehalten.
 
@swissboy: Ist ja OK, will ja auch niemand unterstellen. Ich wollte nur ebenso festhalten, dass die dauerhafte Lösung natürlich nicht darin besteht, dass IDN komplett wegfällt. Da hast Du völlig recht, dass das keine "Lösung" ist, es beabsichtigt aber auch niemand, dies als "Lösung" zu bezeichnen - die neuesten Nightly Builds unterstützen IDN und crashen nicht. Aber bis verifiziert wurde, dass diese richtige Lösung auch problemlos funktioniert, was ganz sicher nicht am Wochenende passiert und noch ein paar Tage dauern kann, muss es eine temporäre Übergangs"lösung" geben => Workaround. Darüber brauchen wir uns jetzt wirklich nicht zu streiten.
 
Kann man nur hoffen, dass der Lückenfinder für seine Arbeit auch belohnt wird.
Kommentar abgeben Netiquette beachten!

WinFuture Mobil

WinFuture.mbo QR-Code Auch Unterwegs bestens informiert!
Nachrichten und Kommentare auf
dem Smartphone lesen.

Folgt uns auf Twitter

WinFuture bei Twitter

Interessante Artikel & Testberichte

WinFuture wird gehostet von Artfiles