Expertenstreit um Lücke in Firefox / Internet Explorer

Software Der Sicherheitsdienstleister Secunia warnt vor einer neuen Sicherheitslücke, bei der sich die Experten bisher uneins sind, ob die Schwachstelle den Internet Explorer oder Mozilla Firefox betrifft. Dabei geht es um einen bei der Installation ... mehr...

Diese Nachricht vollständig anzeigen.

Jetzt einen Kommentar schreiben
 
Hm, na das wird hier wieder Kommentare geben. :rolleyes:

Die Lücke wird erst durch den Aufruf einer präparierten Seite im IE ausgelöst, daher würde ich primär dort den Fehler suchen. Unabhängig davon ob im Firefox auch ein Fehler steckt.
Aber witzig ist es schon, dass die Lücke erst durch die Kombination beider Browser aktiviert wird.

Eigentlich ne Sache, zu der man sonst nichts sagen kann, aber die IE/Firefox-Parteien werden sich schon hochkochen. :)
 
Wenn ich das richtig sehe müssten dann beide Browser installiert sein?
 
@begg: joa,so hab ich das auch verstanden. also im grunde nutzen ja die wenigsten den ie,wenn sie den firefox haben.
aber wenn es um eine schuldfrage geht. beide bessern nach und damit hat's sich doch einfach, oder nich?
 
@ Ensign Joe: Da dein Kommentar in HTML-Form auf deinem Rechner gecached wird hast du jetz Müll auf deinem Rechner..... ^^
 
Trifft "nur" die Windowser!
 
@shiversc: Hallo
Würde ich nicht so sagen.
Denn ich habe es auf Safari 3.0.2 mit dem FF getestet und es klappte einwandfrei nur es kam eine Meldung: Das eine Anwendung starten möchte!!!!
Also sehe ich das ganze System unabhängig+ FF mit installiert( nicht nur Windows...usw.).
 
@shiversc: Und in einen WINDOWS-FORUM trifft das wohl die meisten..denke ich..
 
Safarie und FF unter?
 
@shiversc: wenn es wirklich so ist, ist auch der schuldige gefunden :-)
 
@shiversc: Ich hab es grade auf meinem Mac mit Safari ausprobiert und es passiert nichts. Ich sehe im Browser nur folgenden Text stehen: "process.init(file):process.run(true,{},0):alert(process)"

Also is Apple wie immer sicher....

Wünsche allen Windowzern viel Spaß mit der neuen Lücke :-)
 
nim, könntest du das Workaround mit in die News setzen?
 
Problembehebung: reg delete HKCR\FirefoxHTML /f

reg delete HKCR\FirefoxURL /f
 
Oh mein Gott ... "... präparierte Webseite ... über Umweg über den FireFox ...". Das ist wieder eine dieser "Sicherheitslücken". Na dann aber gaaanz schnell her mit nem Update, sonst traue ich mich ja nicht mehr ins Internet ... . Wer findet so ein Zeug überhaupt immer raus?
 
@OG_Skywalker2: jup, ganz meine Meinung. Ich finde das immer sehr amüsant, was da an Szenarien zusammengebsatelt wird, um eine eventuelle Sicherheitlücke herbeizuführen. Und da jabsolut noch keine Sau auf dieser Welt von dieser Möglichkeit gewusst hat. Beschreibt doch gleich noch mit, wie das jetzt genau geht. Denn jetzt, wo die Welt davon weiß, wird es erst zu einer Lücke werden. - Sicherheitsexperten sei dank!!

Ist mir zu hoch - anstatt es einfach stillweigend beim nächsten Update zu patchen. So basteln bestimmt irgendwelche Hirnies stundenlang rum, bis sie herausgefunden haben wie es funzt und werden es benutzen.

Oh, hopla. da ist ja sogar schon ein entsrechender Link.
- und wie ist das ganze Möglich?! Durch den verf***** offenen Code des Firefox. Weil so geziehlt danach gesucht werden kann, mit welchen Handlern ich mich reinhacken kann. Ansonsten kommt ja kein schwein auf dieses Script Wie auch?! ....OpenSource rulz!
 
notme: Da hat wohl einer ganz viel Gehrinschmalz! Was hat OpenSource damit zu tun, das der Umgang und die Funktionsweise von URIs offen liegt? Erklär das mal! Und wenn du schon dabei bist, wie lässt sich deine Theorie auf den Closed Code vom IE anwenden? Irgendwas passt da nicht!
 
Es gibt neulich ne Sicherheitslücke in LINUX JAAAA.... Über einer bestimmten Kommandozeile im Terminal wird der Firefox geöffnet der wiederum eine präparierte Seite öffnet die einen Trojaner lädt der dann auf Wine zugreift und dann dort den IE aufmacht um dann ein Active-X Element runterzuladen dass wiederum eine Seite im IE Öffnet um dann noch ein Trojaner runterzuladen um dann den Firefox zum abstürzen zu bringen. Das ist gemein!!!
 
@PC-Hooligan: Ja das ist gemein! Leider ist noch viel gemeiner, dass man als root arbeiten müsste um theoretisch dem nahezukommen!Alles gemein und Theorie!
 
Wenn ich den Proof of Concept-Kram ausprobiere, werde ich 5x gefragt, ob ich diesen kryptisch aussehenden Code wirklich ausführen will. Also wer darauf reinfällt ist selbst schuld.
 
Ich als verwöhnter Opera-Nutzer kann nur lachen.... Wer IE UND FF benutzt, ist selbst schuld!
 
@angel29.01: Du bist aber komisch. "Wer IE UND FF benutzt, ist selbst schuld!" Klar, wer denn sonst?

 
@Bösa Bär: Okay, selbst Schuld ist übertriebn.... Aber man eine Alternative zur Verfügung und die kann man nutzen: Opera!!!!!!!!!!!!!!!!!!
 
@angel29.01: Nicht übertrieben. Aber lasst doch einfach die Leute nutzen was sie wollen. Nobody is perfect. Es kann jederzeit eine negative Meldung über Opera erscheinen...
 
@angel29.01: Mal sehen wie lange du noch lachst, wenn dein Opera jemanden durch einen trivialen JavaScript Exploit vollzugriff auf dein System übergibt. Jeder Browser hat irgendwo Lücken, da ist Opera keine Ausnahme!
 
@Overflow: Fakt ist, dass Opera nunmal der sicherste Browser auf dem Markt ist. Da gibts kein "wenn" oder "aber"...
 
@PC-Hooligan: Und diese "Fakten" sagt wer? Dein Bauchgefühl?
 
@Overflow: Geh mal auf secunia.com :)
 
@Overflow: JavaScript abschalten!
 
@PC-Hooligan: Ja, da sehe ich, das bei fast 50% der Bugs ein Systemzugriff möglich war und 50% der Fehler Hochkritisch waren. (OT: Hast du dir schonmal die Statistik von K-Meleon angesehen?)...Wenn man das mal mit Firefox 2 vergleicht, sieht man, das dort nur bei 15% der Bugs Systemzugriff möglich war und nur 33% Hochkritisch waren. Wie kommst du nun darauf, das Opera der sicherste Browser ist?
 
@Overflow: Wer redet denn hier von der Vergangenheit? Da steht, dass Opera 9.x aktuell keine Sicherheitslücken aufweist (6 von 6 gepatcht) und Firefox 2.0.x zurzeit 8 ungepatchte Sicherheitslücken hat (nur 4 von 12 gepatcht). Opera ist neben K-Meleon der sicherste Browser.
 
@PC-Hooligan: Ich dachte wir reden hier über die Sicherheit. und nicht wie viele Sicherheitslücken gerade noch offen sind. Bis auf diese Merkwürdige Lücke von Heute, ist der Rest nicht kritisch. Das würde ja im Umkehrschluss heißen, wenn morgen ne extremkritische Opera Lücke auftaucht, wäre er der unsichertste Browser überhaupt...Außerdem wenn du so zählst, würde ich mir wirklich eher Gedanken um die ungepatchten Windows "Lücken" machen, als um die "Lücken" des Browsers
 
@Overflow: Ich will hier Niemandem zu einem Wechsel zu Opera überreden. Jeder soll den Browser nutzen mit dem er am meisten was anfangen kann. Sicherheit ist relativ. Da kommen viele Faktoren und Umstände dazu. Mir ist es sogar lieb, dass Opera nicht so sehr verbreitet ist... lass ma die Hacker auf den IE rumhacken :)
 
@angel29.01: Kann PC-Hooligan nur zustimmen... sicher ist nur das nichts sicher ist... bin auch Opera-User und auch sehr zufrieden. Muss aber dazu sagen wenn 50% aller User Opera benutzen würden, gäbe es auch mehr "bekannte" Lücken. Welcher Hacker/Cracker spezialisiert sich denn schon auf Opera...
 
Funktioniert das ganze auch mit dem IE-Tab ?
 
Opera ist nicht betroffen oder irgendwie darin verwickelt - merkt ihr was?
Opera Opera Opera :D
 
@duro: Ja, ich merk was. Opera-User Duro und angel29.01 haben die Schadenfreude als Charakterschwäche für sich gebucht.
 
@Bösa Bär: Nein. Es ist das gesunde Selbstbewusstsein sagen zu können dass man den schnellsten und sichersten Browser benutzt.
 
@PC-Hooligan: Es ist doch immer dasselbe. Lasst den Opera mal 20% (irgendeine Hausnummer) Marktanteil haben. Und schon gehen die Schadsoftwareprogrammierer auch auf diesen Browser los. Und erst dann wird sich zeigen, ob Opera wirklich der schnellste und sicherste Browser ist.
 
Genau! Es ist das gesunde Selbstbewusstsein das man dan besten Browser hat.... Aber naja, manche würden wohl immer noch Trabbi fahren, selbst wenn sie einen Porsche geschenkt bekommen würden....
 
@angel29.01: Ein gesundes Selbstbewusstsein? Ihr seid nur stolz etwas zu benutzen, was andere Programmiert haben. Das ist eigentlich angeben. Und ich würde durchaus den Porsche nehmen! ,-) Aber der Browser ist mir eigentlich egal....(zu banal, um mir nen Kopf darüber zu zerbrechen).
 
@Bösa Bär : Wir sind eben nicht vom Firefox-Hype geblendet. Klar, jede Software hat Sicherheitslücken aber diese werden erst zu eine Gefahr wenn man weiß, dass Sie existieren. Bei Opera war es bis jetzt immer so, dass Sicherheitslücken schnell und schnörkellos behoben wurden ohne es an der großen Glocke hängen zu müssen.
 
@PC-Hooligan: "Wir sind eben nicht vom Firefox-Hype geblendet". Ihr macht aber einen Hype um Opera. Die Meisten hier wissen doch das Opera ein sehr guter Browser ist. Das muss man nicht immer betonen, wenn irgendwelche FF/IE/Safari-News kommen. Da schadet ihr dem Opera-Image mehr als euch/uns selbst lieb ist. Die Leute haben schon ihre Gründe warum sie was benutzen und wer sich auf Winfuture bewegt, ist in meinen Augen schon so fortgeschritten, das er das durchaus für sich selbst entscheiden kann.
 
@PC-Hooligan: Da kann ich Bösa Bär nur zustimmen, scheint als würdest ihr etwas neidisch auf den Firefox "Hype" sein, und versucht jetzt irgendwie Opera als "sichersten und schnellsten" Browser selber zu hypen. Je nach Statistik stimmt das ja nicht mal...
 
@angel29.01: In einer der letzten News hast Du selbst zugegeben (zwing mich net die URL zu posten) keinerlei Ahnung zu haben und jetzt willst DU K*cknap den Leuten hier etwas über Browser erzählen?!
 
@Brand10: Wir sind aber böse.... Ich hab keine Ahnung von Office-Programmen. Von Browsern versteh ich aber was und hier kann ich dir sagen, das Opera der beste ist. Im Vergleich immer der schnellste und sicherste. Und meine ganz persönliche Meinung, nachdem ich mit IE gesurft hab und auch FF ne Zeit lang nutzte, keiner von ihnen kann Opera das Wasser reichen....
 
@angel29.01: Sry, aber ich stehe nicht auf proprietären Closed-Source Mist. Abgesehen davon verstehst Du auch von Browsern nicht allzuviel, denn ansonsten würdest Du nicht so einen Unsinn ohne Begründung behaupten. Ich vermute stark, dass Du FF ohne jegliche Extensions ausprobiert hast. Dann ist Opera in der Tat der Browser mit den meisten Features. Trotz allem fehlt mir da immernoch etwas wie AdBlock, Proxy Switch Tool, FireBug, DOM Inspector, Tab Mix Plus, usw...
 
FF deinstallieren, und schon kommt nur noch ne Meldung "Firefox.exe nicht gefunden" :-) Zweiter Vorteil, nur noch ein Browser den man aktuell halten muss.
 
@species: au ja, is das schwer 2 browser aktuell zu halten :D ^^ bist mir so einer :-)
 
FF macht sowieso nur Probleme.
Ich hab mal "Firefox Portable" auf meinen Recher zu Reservezwecken draufgehabt (muss man nicht installieren). Hatte ich irgendwo in den eigenen Dateien. Dann habe ich aus einem bestimten Grund den Adobe Reader neu installieren müssen. Plötzlich will der mitten in der Installation einen Ordner "plugins" in meinem Ordner mit Firefox Portable anlegen und schaffts nicht. WTF? Ich überprüfe alles: Ist der Ordner oder ein Überordner schreibgeschützt oder habe ich keine Schreibrechte? Nein - alles passt.
Mach ich den regedit auf und lösch alle einträge in denen auch nur "Firefox" vorkommt raus. Danach starte ich die Adobe-Installation neu. Alle klappt bestens!
Ok ok, der Fehler liegt in diesem Fall bei Adobe - trotzdem ein Schwachsinn das sich mein FF in die Registry einnistet und dort sogar eigene Dateitypen für sich registriert, obwohl ich ihn nicht mal installiert sondern nur gestartet habe...
 
Da werden die Entwickler vom FF so, oder so den Kürzeren ziehen. Alle Windows User können auf den FF ohne Probleme verzichten, da er sich deinstallieren lässt, den IE kann man nicht einfach deinstallieren. Folglich bleibt den FF Entwickler nichts anderes übrig als eine Lösung zu finden, oder die Sicherheitsbewussten User haben keine andere Wahl, als den FF zu deinstallieren, wenn sie diesem Risiko aus dem Weg gehen wollen! Dies würde dem FF enorme Markteinbussen bescheren! Da nützen auch Schuldzuweisungen nichts. Meiner Meinung nach, ist es unter den gegebenen Umständen und Informationen nicht möglich für den Normalo festzustellen, wessen Schuld es wirklich ist!
 
@Ruderix2007: In der Systemsteuerung über Software/Programme kannst du den Internet Explorer deinstallieren. Er zählt als Windows-Komponente. Eventuell brauchst du dafür deine Windows-Installations-CD.
 
@Ruderix2007: Da sollte Microsoft allerdings nachbessern. Der IE sollte nicht mit dem Windows so arg "verzahnt" sein. Ich würde den IE schon gerne deinstallieren, aber ich bin "gezwungen" den Browser draufzulassen (WU, .net usw.)
 
@Bösa Bär: Nun ja das liegt daran das viele Programme die Bibliotheken des IE brauchen. Zum Beispiel Hilfe-Datein. Außerdem macht es nicht viel Sinn den IE zu deinstallieren, denn er frisst nicht viel Speicherplatz auf der Festplatte.
 
@Matti-Koopa: Hm. Ist ein "Fimmel" von mir, Software zu entfernen, die ich eigentlich nicht brauche. Und jetzt gibts lt. den News auch noch ein Sicherheitsproblem, wenn man beide drauf hat....
 
@Bösa Bär: NUn ja dieses Sicherheitsproblem ist ja ziemlich seltsam. Außerdem wird vermutlich schon beim IE eine Bestätigen/Abbrechen Sicherheitswarnung angezeigt. Ist nur eine Vermutung...
Aber da du mit FF surfst und nicht mit IE sollte das ja für dich sowieso kein Problem sein. Siehe Newstext: "Ruft man auf einer präparierte Website mit dem Internet Explorer einen Link auf...."
 
Matti-Koopa. Den IE kann man nicht deinstallieren, ohne dass es zahlreiche Probleme gibt. Du kannst höchsten (unter XP) den IE7 deinstallieren, aber dann hast du automatisch wieder den IE6! Eine vollkommene Deinstallation des IE ist unmöglich!
 
@Ruderix2007: Du kannst den IE komplett über Windows Komponenten problemlos entfernen!
Da dabei nur das Programm und nicht die wichtigen Bibliotheken deinstalliert werden giebts keine Probleme.
 
@Matti-Koopa: Falsch. Lediglich die Verknüpfungen auf dem Desktop und im Startmenü werden entfernt.
 
@ Matti-Koopa: Der IE ist seit Win2000 (glaube nach dem 2 Service_Pack) fester Bestandteil des OS und kann seither nicht mehr komplett deinstalliert werden. Wenn du mir es nicht glauben willst, google es einfach nach! Wie PC-Hooligan schon geschrieben hat, mit deiner Methode entfernst du nur die Verknüpfungen. Du kannst es selbst überprüfen, deinstallieren den IE auf deine Art. Speicher zuerst mit dem IE eine Website (Favoriten Link). Nach der angeblichen Deinstallation, drücke auf den Link und du wirst sehen, dass er mit dem IE geöffnet wird! Wäre nicht möglich, wenn der IE komplett deinstlliert ist!
 
Nun ich habe jetzt keine Lust das auf einer virtuellen Maschine zu testen...
Ich denke ich habs schon mal gemacht...hm naja ihr werdet wohl schon recht haben.
Trotzdem kann man ihn entfernen. Bis auf einige Bibliotheken eben. Bei HP QuickPlay (kennt das jemand?) ists ja auch so. Öffnet mal beim QuickPlay einen Explorer und seht nach...
 
@Ruderix2007: Naja, deinstallieren ist wirklich schwer, aber mit nlite lässt sich ja verhindern, das er überhaupt installiert wird :)
 
@Overflow: Man kann aber dadurch Probleme mit einigen Windows-Komponenten und Programmem bekommen. Wenn man nichts mit dem IE am Hut haben will...am besten ein komplett anderes Betriebssystem aussuchen :)
 
@PC-Hooligan: Ja, die Entwicklung des IE for Mac wurde ja zum Glück eingestellt :)
 
@Ruderix2007: Jo, wäre das beste. Wie gesagt: Meiner Meinung nach zahlt sich Entfernen des IE nicht aus.
 
Hier noch einen Link zu der Deinstallation (unter Werksvoraussetzungen)des IE: http://tinyurl.com/2zyxmf Ob es mit XPLite möglich ist (es soll angeblich mit diesem Tool möglich sein), weiss ich nicht, da ich es nie in Betracht gezogen habe den IE zu deinstallieren. Die Probleme die dadurch entstehen, überwiegen meines Erachtens den Vorteil den IE nicht mehr zu haben! Hier noch ein Link zu XPLite:http://tinyurl.com/344hux

 
Der FF wird nur über dem IE aufgerufen, das muss man im IE erstmal explizit zulassen , über dem FF wird die Commandoconsole geöffnet und das völlig OHNE Userbestätigung , Ich sage der Fehler ist im FF.
 
So lange man den Internet Explorer nicht leichtsinngerweise für Web sörfen benutzt, kann auch diese Lücke nichts anrichten. Die möglichen Angriffsvektoren auf den Internet Explorer sind in ihrer Vielzahl doch kaum noch überschaubar. Das größte Problem für einen eventuellen Angreifer ist es doch, in dieser Riesenauswahl an Lücken für den Internet Explorer sich für eine Lücke zu entscheiden. :-D
 
@Fusselbär: wieviel der älteren angriffsmöglichkeiten funktionieren denn heute noch auf einem aktuellen Produkt ? möglicherweise gehst du nur von einem ungepatchten IE6 oder IE5 aus ? Man könnte hier genauso gegenhalten das es für den FF1.0 auch genügend Exploits gibt aber dann wird man ja gleich beschimpft :)
 
@ ~LN~:Troll dich .Und ab ins bett! Deine Mama hatt dir doch gesagt du sollst nicht so lange aufbleiben!
Kommentar abgeben Netiquette beachten!

WinFuture Mobil

WinFuture.mbo QR-Code Auch Unterwegs bestens informiert!
Nachrichten und Kommentare auf
dem Smartphone lesen.

Folgt uns auf Twitter

WinFuture bei Twitter

Interessante Artikel & Testberichte

WinFuture wird gehostet von Artfiles