Neue Sicherheitslücke in Firefox & Internet Explorer

Software Im Fehlermeldesystem Bugzilla von Mozilla wird von einer neuen Sicherheitslücke im freien Browser Firefox berichtet, die offenbar auch den Internet Explorer in der Version 6 betrifft. Dabei wird die Funktion zum Abspeichern von Zugangsdaten ... mehr...

Diese Nachricht vollständig anzeigen.

Jetzt einen Kommentar schreiben
 
Was ich viel schlimmer finde... Firefox speichert auch Formular- bzw. Zugangsdaten ab wenn man eine SSL-Verbindung nutzt, d.h. z.B. Benutzernamen oder Passnummer, und zwar ohne aufgefordert zu werden, mit der (ansonsten recht praktischen) Funktion des Autocomplete. Das ist meiner Meinung nach ein viel grösserer Sicherheitsfehler als alles was bisher war. Nur... wie sagt man es den Leuten?
 
@Islander: Fragt FF nicht nach? Bei mir tut er es, und wenn ich ihm sage "Nie auf dieser Seite", dann auch nicht.
 
@Islander: Bei mir wurde bis jetzt immer nur das gespeichert was ich wollte
 
@Islander: Extras > Einstellungen... > Datenschutz. Dann den Haken bei "Daten speichern, die in Formulare und die Suchleiste eingegeben werden" entfernen!
 
@Islander: Totaler Unfug. Ich kann mich meinen Vorrednern nur anschließen. Default nach der Installation kann das bei Firefox gar nicht passieren. Da hast Du in den Einstellungen wohl was verstellt und nicht aufgepasst! Manch anderer Browser bietet mit den default-Einstellungen leider weit weniger Sicherheit.
 
Bei mir funktioniert die Lücke auch nicht, liegt vielleicht bei mir daran, dass ich die Cookies per CookieSafe standardmäßig blockiere.
 
@open4all: Meine Cookies sind auch standardmäßig blockiert, aber bei mir funzt der Test, kann also daran nicht liegen.
 
@eber007: Das funktioniert, richtig. Dann werden aber überhaupt keine Formulardaten mehr gespeichert, und das ist ja nicht Sinn der Sache. Ich möchte ja weiterhin komfortabel bei jedem x-beliebigen Forum einloggen können, aber keinen Schock bekommen wenn bei meiner SSL-Homebanking-Seite mit einem einfachen Tastendruck meine Logindaten erscheinen. Nicht das Passwort, sondern der Zugangsname. Oder macht Ihr kein Homebanking?
 
@Islander:
Doch, aber doch nicht über einen Browser. Das mutet recht verwegen an.
 
He, warum steht da nich das ich das gemeldet hab :(
 
@Screenzocker13: was hätte man davon, wenn dein Name dabeistehen würde? nichts :-)
 
@Screenzocker13: Oh man...du bist sicherlich der Typ, der die Sicheitslücke entdeckt hat oder?! Dann bist du sicherlich auch der Einzige, der diese News eingesendet hat?! Und was wenn es nun 100e von Leuten eingesendet haben? Die müssen wohl alle erwähnt werden...ein wenig Ruhm für den Mann bitte...tztz
 
Was ist mit IE 7? Warum nur IE 6? Ich denke doch mal der 7ner wird gleichermaßen betroffen sein.
 
@karstenschilder: Kann aber muss nicht.
 
@karstenschilder: Soweit ich es mitbekommen habe ist es wirklich nur der IE6 nicht der IE7. Der IE7 speichert nicht nur die URL sondern auch noch das Verzeichnis und/oder Namen der Seite mit. Deshalb geht es da nicht (zumindest nicht wie oben beschrieben)
 
Auf anderen Seiten wird das nicht erwähnt das es diese Lücke auch im IE6 geben soll , im IE7 funktionierts jedenfalls nicht.
 
@Vista2007: Wäre echt gut, wenn Winfuture sich mal angewöhnen würde immer Quellen anzugeben. In diesem Fall ist immerhin die Quelle für den Fehler in Firefox da, aber die für IE fehlt.
 
Laut t-online ist nur der FF betroffen. Habs aber nicht bis zum Ende gelesen.
 
Internet Explorer wird NICHT durch diesen Fehler beeinflußt, weil er NICHT einen Kennwortmanager zum autocomplete die usernames in die Formen hat
 
@dukess: Doch hat er unter Internetoptionen - Inhalte - Autovervollständigen - alles ankreuzen. Danach wirst du vom IE7 bei der Heise DEMO für denn FF gefragt ob er name+pw speichern soll , da drückst du OK . Wenn du allerdings im IE7 (ob mit oder ohne tabbed-browsen) die Evil Page anklickst wird dir name und passwort nicht angezeigt , weil es da nicht ausgelesen wird.
 
Ich hoffe, dass das Problem schnell beseitigt wird. Wobei die schnelle Fehlerbehebung bislang ja immer eine Stärke des OpenSource Gemeinde war (und hoffentlich immer noch ist). Mir macht jedoch diese Formulierung "Die Entwickler von Firefox sind bereits informiert, bisher gibt es aber noch kein Update, das das Problem behebt. Für die Beseitigung der Schwachstelle soll auch die Mitarbeit des Teams nötig sein, das für die Benutzeroberfläche zuständig ist. Dadurch könnte sich die Bereitstellung eines Patches hinziehen." Sorgen und ich vermute fast, dass dies zugleich auch ein Hauptproblem bei solchen OS Projekten sein kann... nicht muss. Wie dem auch sei, ich warte auf einen Patch :)
 
@candamir: Und was genau soll das jetzt mit OpenSource zu tun haben?
 
@bolg: Nur das was ich geschrieben habe... sonst nichts. oder auf was genau willst du nun hinaus?
 
@candamir: Ich nehme an, dass bolg wissen möchte warum dies gerade ein Problem bei OpenSource Projekten sein soll, und nicht ein generelles Problem, das bei jeder Software auftritt an der mehrere Teams arbeiten.
 
Richtig. Habe ich wohl etwas eigenartig formuliert.
 
Was ich damit sagen will, ist, dass bei einer Firma die Leute die an dem Projekt beteiligt sind auch unter einem Dach arbeiten. Der Teamleiter, sofern er fähig ist, weiß dann wer was gemacht hat und wie er welche Leute zu greifen bekommt... vorallem er bekommt sie zum greifen, wenn es erforderlich ist. Außer es sind alle gleichzeitig im Urlaub, aber das wäre eine schlechte Projektplanung. Und in einer Firma sind die Leute an Absprachen gebunden... sonst womöglich Job weg. Im OS sieht es da vielleicht unter Umständen anders aus. Schließlich arbeiten die Leute "freiwillig" an dem Projekt und unterstehen nicht der Hirarchie wie in einer Firma. Und das hat imho Vor- und Nachteile. Nachteile nämlich dann wenn alle nicht können oder wollen, die eben gerade für ein Teilgebiet zuständig sind um einen Fehler auszubügeln :) Vorteile hat das ganze dann aber dadurch, dass der Code offen ist und andere evtl. den Fehler beheben können... sofern sie es können.
 
@candamir: Dazu sei allgemein gesagt, dass die grossen OpenSource-Projekte nicht hauptsaechlich von "freien unbezahlten" Entwicklern getragen werden. Da macht auch nicht jeder was er will etc. Und dass bei CSS alle unter einem Dach arbeiten (im wahrsten Sinne des Wortes) ist auch nicht allgemeingueltig. Ich sehe insofern also keine besondere Stellung fuer OSS.
 
Eine heftige Lücke, die schnell behoben werden sollte. Hat mal jemand getestet, ob der Fehler auch in v1.5 vorhanden ist?
 
@pc_benutzer: Wollte grad sagen...diese Lücke ist mehr als heftig. Sie auszunutzen ist sehr einfach und effektiv. Wie soetwas passieren kann ist mir schleierhaft, denn genau bei solchen sensiblen Daten muss man doch zuerst schauen wie sicher es ist. Wundert mich wirklich, dass das erst jetzt publik wird. Sehr schwerwiegender Fehler, der meiner Meinung nach nicht hätte sein müssen. Hoffen wir auf baldige Schliessung.
 
@Zoki: Die Funktion ist ja auch wirklich komfortabel. ok, Bankdaten haben wirklich nichts auf dem Rechner zu suchen. Zumindest nicht, wenn sie nicht gut versteckt und verschlüsselt hinterlegt sind. Aber ich denke Ebay-, Amazon- und andere Onlineshopdaten läßt jeder, der diese Funktion benutzt denn auch direkt eintragen. Übrigens laut Infos einiger Seiten auch in vorherigen Firefox Versionen vorhanden. Nicht gut das :( Bin ziemlich platt, das das ausgerechnet dem Sicherheitsvorzeigebrowser passiert.
 
Hm... ich habe hier FF2 unter Linux und bin nicht betroffen.. anscheinend ist also nur die Windows Version betroffen.
 
@Torbi: Bei dem WF Test geht der Link zu Google auf dem Video nicht unter Linux, der Heise Test funktioniert aber, also ist der FF unter Linux auch betroffen.
 
*Trollmode on* Öhm, mein Opera ist davon, zu meinem grossen Glück, gar nicht betroffen. Ja! Ich weiss, warum ich auf Opera stehe *Trollmode off*
 
@Ken Guru: Lass mich raten, triviale JavaScript Bugs, die bei Opera sofort eine rießen Sicherheitslücke aufmachen?
 
NUr das es bei Opera die grossen Lücken nicht gibt.
 
@Ken Guru: Danke für deinen Beitrag, immer das gleiche mit dir........:-)
 
Im IE7 bekomme ich nur "Internet Explorer kann dieses Webseitenformat nicht lesen. HTTP406" angezeigt, ist das normal ?
 
@Species: Ja , nimm den Heise Test . http://www.heise.de/newsticker/meldung/81410
 
@lazka: Bei mir auch. FF 2.0 unter Linux..
 
@all der IE6 und 7 sind auch davon betroffen, man muss aber dazu den Exploit umstellen, siehe dazu den Bugzillaeintrag bei mozilla.org
 
Schade das die News erst am späten Abend kommt, auf diversen anderen Seiten kam sie schon Heute früh. Ok, ihr seid keine reine Security-News-Seite, aber trotzdem wäre in dem 'brisanten' Fall Schnelligkeit angesagt. Etwas zu ungenau wird auch erklärt, warum der Fehler auftritt. FF merkt sich z.B. nur die Domain zu den Daten, aber weder das Unterverzeichnis, die eigentliche HTML-Datei und wohin die Daten gesendet werden. Zu bemerken wäre auch, dass der Benutzer immer einen Submit ausführen muss. Leider läßt sich der Submit und das Formular gut tarnen bzw. mit Java-Script automatisch ausführen.
 
einfach das passwörter speichern auszumachen...
 
einfach das passwörter speichern auszumachen...
 
ich hab gerade den Link mit dem Konqueror (Linux KDE Browser) ausprobiert, der ist wohl auch nicht betroffen. Auf jeden Fall wurde das Passwort nicht wieder angezeigt!! Guter Pinguin brav...
 
Scheint wohl ein Problem in Verbinfung miz Windows zu sein. Unter Linux passiert da nichts. Jedenfalls nicht bei mir.
 
@sesamstrassentier: Auf mehreren Linuxrechnern habe ich das jetzt getestet und es passiert immer genau garnichts.
 
@sesamstrassentier: Kann Ich nicht bestätigen, bei dem WF Test geht der Link zu Google auf dem Video nicht, der Heise Test funktioniert aber mit FF2.0 & SUSE, also ist der FF unter Linux auch betroffen.
 
Firefox is scheisse,ic hatte ihm mal drauf..der zeigt alles nen bischen schneller an weill er jeden scheiss am speichern is..
UNd viele seiten auf denen ich bin sehen scheisse aus mit Firefox.
Ich habe seit 5 jahren schon immer nur Internet Explorer gehabt jetzt natürlich schon lange den Internet Explorer 7 der is spitzen klasse.
Mehr kann mann dazu nicht sagen.
Ich hatte mit Internet Explorer noch nie seiten probleme immer wird allen perfekt angezeigt seit 5 jahren.Noch nie probleme...
UNd FF ist NICHT sicherer..das sage ich auch schon seit über 5 jahren...

MFG Roman A
 
@RomanGV1: Nenne eine Seite die mit FF scheiße aussieht! Und bitte eine die auch etwas Traffic hat. ... btw ist dein Post nicht im geringsten ein guter Trollversuch
 
@Ruffus2000: Wahrlich... es ist noch nicht mal ein Trollversuch, da selbst ein schlechter Troll das besser hinbekommt :D
 
Dann will Ich mal ne Seite nennen, die Traffic hat und im FF nicht bedienbar ist (Navileiste) http://www.computerbild.de/ Nicht das die Seite wichtig währe, aber für ein Magazin das den FF immer anpreist, ist das schon peinlich :-)
 
@OttoNormalUser: Und was genau soll da jetzt nicht funktionieren? Habe mal durchgeklickt und alles lies sich gut darstellen.
 
@OttoNormalUser: Ich habe auch keine Probleme. Die Seite sieht im IE6 sowie im Firefox gleich sch**ße aus.
 
@sesamstrassentier: Also bei mir funktioniert die Linke Navileiste mit den großen Buttons überhaupt nicht, und das auf mehreren Rechner nicht. Dargestellt wird die Seite ja halbwegs, wenn der FF sie zusammengepuzzelt hat.
 
@OttoNormalUser: :) Oh jetzt wo du es sagst hab ich es nochmal probiert und es geht NICHT! Da gibt es einen Fehler im Javascript der Seite.
 
@ OttoNormalUser: Funktioniert bei mir einwandfrei.
 
@ sesamstrassentier: Freu dich, dann bist du der einzige.....
 
Eher der Zweinzigste xD Bei mir gehts das auch problemlos.
 
RomanGV1 musste des jetzt sein? Das ist jetzt seit langem die erste news wo kein geflame war und du musst damit anfangen...
Ich bin jetzt auch kein Freund von Firefox dennoch ist des ein guter Browser.
Vor und Nachteile gibt es bei dem Browser aber deswegen streiten anfangen?
Das zeigt jetzt halt das auch der FF Sicherheitslücken hat die Hoffentlich schnell behoben werden.
 
@ Ruffus2000: Fangen wir mal bei den ganzen Live.com und Hotmail Seiten an. Dann die ganzen AXAJ und .net-Seiten, wo teilweise total falsch dar gestellt werden oder ganze teile fehlen. Zu dennen wäre auch die Windows-Update seite. Ich kenne noch viele weitere aber ich will diese news jetzt nicht sprängen.
Solange Opera und Firefoxx es nicht schaffen Hotmail / Windows-Update zu laden sind die Browser für mich uninteressant. Da bleibe ich doch lieber bei meinem jetzigen, und nein das ist kein IE.
 
@cerox: Das sind durchweg MS-Seiten, die sind sowieso schrott weil sie nicht den Standart im entferntesten entsprechen und mit Vorliebe auf dem IE laufen. Was meinste wieso das so ist, hmm? Ein Schelm wer böses denkt. :)
 
@cerox: 1. Blauer Pfeil ... Ich hab noch nie Probleme mit live.com und hotmail.com gehabt. Ajax Seiten funktionieren auch, außer sie sind IE optimiert und verwenden keine Browserweiche.
 
@cerox: und zu Windows-Update muß ich wohl nix sagen :D
 
@sesamstrassentier: Ich glaube fast, dass Microsoft wesentlich schneller Standards zu verwenden lernt, als die meisten hier "Standard" richtig zu schreiben :)...
 
@Lofote: Na auwaia :D
 
@Lofote: Der war gut! :-) Es ist schon erstaunlich warum Standard von vielen immer und immer wieder mit T geschrieben wird. Das ist wie eine Seuche, Standard mit T.
 
Wer jetzt immer noch Firefox benutzt, sollte eigentlich zum Entrichten einer Strafsteuer verpflichtet werden.

Der Hintergrund dieser wieder einmal lange verschwiegenen Sicherheitslücke ist klar:

Der Mozilla Foundation gehen die Spendengelder aus.

Also versucht man nun, auf illegale Art und Weise mit Hilfe der zum Glück inzwischen deutlich nachlassenden Beliebtheit dieser hoffnungslos verwanzten Wurm- und Virenschleuder Firefox an Kapital zu gelangen.

Firefox war, ist und wird immer der mit deutlichem Abstand unsicherste Internetbrowser sein.

Leute, es gibt Alternativen, aufwachen!!!

Opera, IE7, Safari, Konqueror.

http://mywebpages.comcast.net/SupportCD/FirefoxMyths.html
 
@Phantom of the Opera: soso, und deshalb hab ich auch den ganzen rechner voller viren und würmer obwohl ich des öfteren auf "evil pages" bin (keine pr0n seiten...) oO
 
@Phantom of the Opera:
Der Name ist wohl Programm. " Wieder einmal lange verschwiegene Sicherheitslücke" ? Nach meinem Kenntnisstand werden Fehler und/oder Sichehrheitslücken, nachdem sie verifiziert worden sind, sofort komuniziert und zeitnah per Update behoben. Und was versuchen die auf illigale Weise? Kapital zu schlagen? Womit und wie denn? Hoffnungslos verwanzten Wurm und Virenschleuder? Das erkläre mal bitte näher! Unsicherste Internetbrowser, der an Beliebtheit verliert? Das hätte ich auch gerne mal erläutert. Du siehst also, dein Beitrag wirft nichts weiter als Fragen auf und strotzt zudem mit Unwahrheiten, die durch nichts untermauert und belegt werden können. Es ist ja schön, dass du offensichtlich eine für dich taugliche Alternative gefunden hast. Mir scheint, du schreibst über den IE. Geh essen, schlafen oder meinetwegen auch spielen, aber verschone die geneigte Leserschaft bitte mit deinen unnötigen und völlig aus der Luft gegriffenen Unwahrheiten. Und wohin soll ich deine Strafsteuer überweisen? Woher weißt du, dass der Mozilla Foundation das Geld ausgeht? Bist du der Schatzmeister oder was? Du bist ein kleiner und gemeiner Troll!!!!:)

 
soso, und deshalb hab ich auch den ganzen rechner voller viren und würmer obwohl ich des öfteren auf "evil pages" bin (keine pr0n seiten...) oO
 
Internet Explorer wird nicht durch diesen Fehler beeinflußt, weil in IE die Daten nicht automatisch in die Formen gefüllt werden und also kann ein Aufstellungsort nicht Stola ein Kennwort. Nur der Kennwortmanager des Firefoxs tut automatische Füllung von Daten in Formen vom Kennwortmanager
 
IE7 nicht betroffen?Fein.
 
Was passiert, wenn ich im FF2 die Option Passwörter speichern deaktiviere.
Gehen alle meine gespeicherten Passwörter dann verloren? Oder kann ich nach einem entsprechenden Sicherheitsupdate durch Firefox die Option einfach wieder aktivieren und habe sofort wieder alle Passwörter zur Verfügung?
 
@pelle: Die Passwörter gehen nicht verloren. Du kannst auch die beiden relevanten Dateien (key3.db und signons.txt) in jedem anderen Profil verwenden oder sichern. Kein Problem.
 
@pc_benutzer: Hey vielen Dank. Hab mir erlaubt deine Antwort auch im Forum auf diese Frage zu zitieren.
Kommentar abgeben Netiquette beachten!

WinFuture Mobil

WinFuture.mbo QR-Code Auch Unterwegs bestens informiert!
Nachrichten und Kommentare auf
dem Smartphone lesen.

Folgt uns auf Twitter

WinFuture bei Twitter

Interessante Artikel & Testberichte

WinFuture wird gehostet von Artfiles