Firefox: Fehler erlaubt Zugriff auf Daten von Plug-Ins

Software Wie der 0x000000 Blog berichtet, ermöglicht ein Fehler in der Javascript-Engine von Firefox den Zugriff auf alle durch die zahlreichen Erweiterungen für den freien Browser angelegten Datenstrukturen und Methoden. mehr...

Diese Nachricht vollständig anzeigen.

Jetzt einen Kommentar schreiben
 
Man man man mit dem IE wären es bloß die FTP-Zugangsdaten gewesen :)
 
@pr0xyzer: stimmt, man kann keine Daten, die nicht existieren auslesen.
 
tja FF halt :-) bitte nicht hauen :-)
 
@ChinaOel: Wenigstens sendet der FF nicht regelmäßig Pakete an Microsoft =)
Das wird eh schnell gefixxt, also kein Grun zu Panik.
 
@~hello~ Mach Dich nicht lächerlich!
 
@CitiX: Wieso? Er hat doch recht, bei FF wird schnell reagiert.
 
@Athelstone: Welche Pakete werden an MS gesendet?
 
@CitiX: Schonmal XPY (XP AntiSpy) angeschaut?
 
@ChinaOel: Hat nicht FF vor kurzem eine 10-Tage Reaktionszeit für schwere Sicherheitsprobleme angekündigt? Mal sehen ob Sie diese Frist halten können....
 
@onny: XP-AntiSpy? Das ist ein Tool für Paranoiker.
 
@CitiX: Du beziehst dich auf die Aussage daß der IE Dten aan MS sendet, ich bezog mich auf das schnelle Fixing bei FF. Hättest du dabeigeschrieben mit welcher der beiden Aussagen er sich lächerlich macht, hätten wir dies Mißverständnis vermieden ^^
Abgesehen davon bin ich mir bei keinem MS-Produkt sicher daß es NICHT nach Hause telefoniert.
 
@Athelstone: Kleine Auswahl der fleißigen Telefonierer: Windows Update, Web Content, Digitale Zertifikate, Auto Root Update, Windows Media DRM, der Media Player, Malicious Software Removal/Clean On Upgrade, Network Connectivity Status Icon, Windows Time Service, IPv6 NAT-Service Teredo, Aktivierung, Customer Experience Improvement Program, Gerätemanager, Driver Protection, Dynamic Update, Event Viewer, File Association Web Service, Games Folder, Error Reporting for Handwriting Recognition, Input Method Editor, Installation Improvement Program, Internet Printing, Kindersicherung, Plug and Play, Plug and Play Extensions, Program Kompatibilitäts-Assistent und -Wizard, Properties, Registrierung, Rights Management Services (RMS) Client, Update Root Certificates, Windows Control Panel, Windows Help, Windows Mail, WGA, Windows Defender, Support, Windows Media Center, IE7
 
@Schließmuskel: Und du weisst ganz genau das das alles böse Packete sind wo du von MS ausspioniert wirst ? Dummerweise ist das wieder nur ein schlechter Ablenkungsversuch, kuck lieber auf die Fehler im FF.
 
@ ~LN~: Können wir ja beide "kucken" .. der IE hat genauso Fehler.. wenn nicht sogar mehr.
 
@ChinaOel: die Reaktionszeit haben sie schon gehalten.
Es ist eben nur eine "REAKTIONSZEIT" wie das wort sagt, innerhalb von 10 Tagen reargieren. Da reicht schon ein : Wir arbeiten dran :)
 
@ Schließmuskel: Na, na nicht Dinge aus dem Zusammenhang reissen. Da stellt sich die Frage: Wann, warum und was dabei (wenn überhaupt) abgefragt wird! Ich weiss es, zumindest bei einigen Dingen, jetzt will ich aber von dir eine Antwort! Zusätzlich, kannst du hier uns noch mitteilen, was Workstation und was Server bezogen ist, den nicht alles ist in einer Workstation vorhanden!
 
@~LN~: Hab ich von "bösen Paketen", oder von "Ausspionieren" gesprochen? Der ganze Kram sendet nachweislich massig Daten. Inwieweit diese inhaltlich als harmlos oder kritisch zu beurteilen sind, das weiß wohl nur MS alleine. Und deinen Ablenkungsvorwurf, den kannst Du dir mal schenken... Mein Kommentar ging, unschwer zu erkennen, an "Athelstone" um seine berechtigten Zweifel zu belegen. Was die Fehler im FF angeht, da mach Dir mal keine Sorgen, die schaue ich mir schon an.
 
@Schliessmuskel: Schön deine Liste, dann installier dir eine Firewall und sei glücklich mit deinem abgeschotteten System... lächerlich!
 
@Schließmuskel: Da habens wirs ja schon, du wolltest seine Zweifel bestätigen aber gibst selber zu das du nichtmal weisst welche Daten (wenn überhaupt) da "raus"gesendet werden und wozu die gut sind. Sowas nennt man Trolling.
 
@Schließmuskel: Du weißt nicht ob und was gesendet wird, aber behauptest es einfach. Ein Beispiel: »Windows Time Service« :-O . Der böse, böse Windows-Zeitdienst. Stell Dir nur vor, ich lass meine Systemzeit automatisch darüber stellen. Muss ich jetzt sterben? Paranoia ist schlimm, aber man muß aufpassen, denn Angst essen Seele auf.
 
@~LN~: [o2 re8] "...bin ich mir bei keinem MS-Produkt sicher daß es NICHT nach Hause telefoniert" Es ging um die grundsätzliche Kommunikation, nicht um deren Inhalte. Und die Module aus meiner Liste in [o2 re9] telefonieren definitiv, nur darum ging es, aber das begreifst Du wohl in 100 Jahren nicht. In Kommentaren nicht vorhanden Behauptungen hineinzuinterpretieren, um ergebnisorientiert antworten zu können, erfüllt wohl eher den Tatbestand des Trollens.
 
@ Schließmuskel: Naja, mit viel übertreibung kommt man auch zum Ziel, oder? Naja, das sich die Systemzeit nicht über nichts aktualisiert sondern Daten zum abgleichen von irgendwo beziehen muss ist ja wohl klar (In Linux wird die Systemzeit auch nicht erraten, sondern von Servern aktualisiert). Die Aktivierung wird auch nur einmal benötigt (War also ein Schuss in den Ofen). Ich wüsste nicht das der Gerätemanager ungefragt Informationen sendet. WGA ist ja wohl nicht überraschend. Und das ein Sicherheitstool wie Windows Defender seine Updates von irgendwo her holen muss überrascht dich (Wenn das so ist, ist natürlich jedes AntiViren Programm auch ein Spionagetool)? Naja, wie "gefährlich" der Rest deiner aufgelisteten Sachen ist ist auch fraglich. FF/SeaMonkey usw. schauen auch regelmäßig nach Aktuellen Versionen und senden hierzu Informationen, ebenso AdobeReader und fast jede andere Software wenn man sie nicht konfiguriert (sofern möglich). Du spinnst dir hier jedenfalls ganz schön einen ab. Und mit Windows Update in deiner "MS Spionageliste" schießt du ja den Vogel ab(In Linux wird einem auch angezeigt das Updates verfügbar sind, und dazu werden wohl sicher auch Informationen vom System benötigt und abgefragt). :-)
 
@win-fan: Du hast auch mehr gelesen als da steht... Das es bei der Kritik primär um den Transfer in Richtung Heimat geht sollte klar sein, aber egal, ich denk mir meinen Teil bei der Sache, andere eben nicht. Soll nicht mein Problem sein
 
@Schließmuskel: die Frage ist wohl eher, ob man die Tools dafür kritisieren sollte, dass sie Daten ins Internet übertragen und auch empfangen... Vor allem, wenn es für einen Reibungslosen Betrieb notwendig ist... und nein, der Internet-Explorer sendet keine persönlichen Daten an MS oder sonstwo hin... da würd ich mir eher die Google-Toolbar vornehmen, die jede besuchte Seite überträgt
 
@zwutz: Das ist doch mal eine Diskussionsgrundlage... Eine Notwendigkeit des regen Datenaustausches für einen reibungslosen Betrieb sehe ich nicht mal im Ansatz, schließlich funktionieren Inselsysteme auch. Würde MS die ganze Sache transparenter gestallten, also ein Modul, welches konfigurierbar und vollständig dokumentiert die Daten erhebt und sendet, würde sich das gesunde Misstrauen deutlich reduzieren. Aber so, wenn wirklich jeder Mist meint eine Verbindung aufbauen zu müssen, da kann nur ein fader Beigeschmack entstehen. Die Google-Toolbar wirst Du bestimmt aufgrund ähnlicher Gründe ablehnen, da bin ich mir recht sicher.
 
Bevor jetzt wieder hier die Diskussion über FF und IE ausbricht...IHR LANGWEILT DIE COMMUNITY MIT SOLCHEN SINNLOSEM GELABER...musste einfach mal raus...
 
@Wurzel: Recht hast du, aber ändern wirds nix ^^
 
@Wurzel: (+) Jop diese elendige Flamerei geht mir auch langsam auf die Eier!
Soll halt jeder mit seinem Browser glücklich werden. Ich bin mitm FF glücklich andre halt mit dem IE. Is mir aber auch piepenegal!
 
@Wurzel: Opera nicht vergessen :-)
 
@agnag: und Safari....
 
@killphil: Und auch wenn er nicht sicherer ist, so ist wenigstens die Reaktionzeit auf Bugs (hauptsächlich im Vergleich mit IE) einiges besser. Wie's bei Opera, Apple & co aussieht weiss ich nicht. Gruss
 
@Wurzel: Mit lynx, oder links2 wäre das nicht passiert. xD
 
Hallo!

Tja, da siehts mans wieder. Jeder Browser hat Lücken.
Auch der Firefox ist nicht sicherer wie der IE.
Die Browser nehmen sich alle nichts!
Gruß
svenyeng
 
@svenyeng: Jup stimmt. Es gibt einfach viel zu viele Leute die daran glauben, dass es Software gibt, die absolut fehlerfrei bzw. lückenlos ist. Dass der Fx allerdings sicherer ist als der IE würde ich mich schon zu behaupten trauen.
 
@svenyeng: Würd ich nicht so stehen lassen wollen, immerhin sind derzeit bei http://secunia.com/ zehn Lücken für den IE und "nur" 6 für den FF gelistet. Opera hat sogar 0. Es sollte heißen, dass kein Browser/ keine Software hundertprozentig sicher ist.
 
@svenyeng: Keine Software ist sicher. Dafür finde ich das der Firefox um einiges schneller ist beim Seitenaufbau als der IE..benutze beide regelmäßig und da merkt man schon ziehmlich ein Unterschied.
 
Es heißt schlechter ALS. ALS!! Unterschied: als, Gleichheit: wie. Proportional zur Anzahl der Anwender steigt auch die Anzahl der gefundenen Sicherheitslücken. Ist so und wird wahrscheinlich immer so bleiben. Bei OpenSource werden sie nur schneller gefunden, da das Suchen einfacher ist.
 
Ich habe die Testseite mal mit dem Opera aufgerufen und erhalte folgende Ausgabe. http://parastudios.de/quidoff/test/ff_vuln.txt Im Text darüber steht zwar, dass Opera von der Schwachstelle nicht betroffen ist, allerdings kann ich nicht viel mit dieser Ausgabe anfangen.
Lasst mich bitte nicht dumm sterben ^^
 
OK. Hab mir gerade mal die Ausgabe mit dem FF angesehen. Das sind ja fast 5000 Zeilen. omg!
 
juhuuu der FF hat einen Fehler :)
Naund ? der IE hat 1000
 
am besten NoScript verwenden und die ausführung von javascript nur vertrauenswürdigen seiten erlauben:
http://www.erweiterungen.de/detail/NoScript/
 
@reini86: Hey, ACHTUNG, böses Halbwissen..! cYA iNsuRRecTiON
 
ich wette um 10€ das innerhalb der nächsten 25 tage ein update das problem beheben wird. gegenwetten?
 
Ich wette das Cesar gewinnt :)
 
Im Gegensatz zu Vistas IE 7 stürzt mir mein FF nicht lfd.ab.und zum
ausspionieren gibt es bei mir nichts, also stört die Lücke nicht so sehr.
Sie wird ja, wie immer, recht schnell zugemacht.
Im Übrigen jeder soll mit seinem Browser glücklich werden, den ultimaten gibt es nicht.
 
@computerfan: Aaah was labern denn so viele immer vom ausspionieren? Microsoft lässt sich auf Wunsch blos Fehleranalysen senden, um dann ihr Produkt zu verbessern. Da werden keine Ferienfotos von euch in Unterhosen gesendet. Und viel wichtiger als die Anzahl der Sicherheitslücken pro Browser ist die Tatsache, wie schwerwiegend sie sind!
 
@Winfuture: Plugins sind keine Erweiterungen! Plugins sind bspw. Flash oder Quicktime. Lese http://www.firefox-browser.de/wiki/Erweiterung und http://www.firefox-browser.de/wiki/Plugins und http://www.firefox-browser.de/wiki/Add-ons
 
@speedy_speed: falsch. Per Defenition ist Erweiterung=Plugin. Stück code, allein nicht lauffähig, was dem "Wirts"programm mehr Fähigkeiten verschafft. Dass das im Mozilla-Jargon nicht das gleiche ist täuscht nicht dabüer hinweg, dass Mozilla nicht das recht hat, im Alleingang technische Begriffe umzudefinieren. Wenn es dir gefällt, kannst du ja zu ienem "JS-Plugin" und zum anderen "Binärplugin" sagen, wenn du willst. Ich würds jedenfalls tun.
 
Hammer. Das ist echt mal krass.
 
Solch eine News war wohl dafür ausschlaggebend, dass vor einer guten Woche unsere IT-Abteilung das Nutzen des Firefox inkl. der PlugIns untersagt hat. Musste komplett entfernt werden... Nur noch der IE ist jetzt erlaubt.
 
Javascpript ist doch sowieso als Fernwartungstool bekannt, aber der unumstrittene Marktführer wird wohl bei den Fernwartungstools immer noch ActiveX sein, welches aber nur im Internet Explorer vorhanden ist und auch die weitreichendeste Fernwartung durch Dritte für das gesamte Windows System ermöglicht. Aber in Deutschland braucht sich da keiner mehr Sorgen zu machen, seit dem Wochenende ist das "Deutsche Internet" per "Hacker Paragraph" eine einzige Blümchenwiese, dank dem "Hacker Paragraphen", glaubt der moderne DAU von heute, gibt es dann keinen einzigen Virus, Wurm, Trojaner oder Keylogger mehr auf dem Rechner. Außer den klammheimlichen vom Schäuble und Konsorten nach "gutem altem" DDR Rundumbespitzelungsvorbild, was mit DDR Spitzenkräften in Entscheiderpositionen nicht wirklich erstaunen wird. ,-)
 
NoScript drauf und glücklich sein. http://www.ccc.de/
 
@(=PhAlAnX=): Hey, und schon wieder..: ACHTUNG, böses Halbwissen..! NoScript schützt auch nicht wirklich vor allem, man kann die Erweiterung leicht umgehen bzw. austricksen, dort wird auch nicht alles geschützt bzw. geblockt! Man kann sich auf keinen Fall auf NoScript verlassen und ausruhen, daher ist es hier falsch am Platz. Leider ist es ein weiter irrglaube, NoScript ist daher als praktisch nutzlos anzusehen..Quelle: Blog von AdBlockPlus. MfG CYA iNsuRRecTiON
 
lach naja Firefox ist eben doch nur der 2 beste Browser Opera hat weniger fehler und kann einiges um längen mehr bloß gut das opera so wenig nehmen damit weniger anfällig hihi und nun haut drauf rum
 
Langsam wirds mit dem Firefox brenzlig. Erst das veräppeln des Passwortmanagers durch Webseiten und jetzt diese schwere Lücke. Vielleicht sollte ich doch wieder mehr den IE nutzen und FF nur noch wenn ich den super Downloadmanager brauche. *grübel*
Kommentar abgeben Netiquette beachten!

WinFuture Mobil

WinFuture.mbo QR-Code Auch Unterwegs bestens informiert!
Nachrichten und Kommentare auf
dem Smartphone lesen.

Folgt uns auf Twitter

WinFuture bei Twitter

Interessante Artikel & Testberichte

WinFuture wird gehostet von Artfiles