Firefox: URI-Lücke stellt noch immer Problem dar

Internet & Webdienste Bereits im Juli berichteten wir über eine Lücke im Firefox-Browser. Dabei ist es einem Angreifer möglich, unter bestimmten Umständen die volle Kontrolle über einen PC zu erlangen. Nun berichten die Entdecker der Lücke, dass diese immer noch nicht ... mehr...

Diese Nachricht vollständig anzeigen.

Jetzt einen Kommentar schreiben
 
Die volle Kontrolle? Pah... ist gelogen... den Netzwerkstecker kann der nicht ziehen und den Netzstecker auch nicht *g*
 
:-D Da hast du recht! +++
 
Woohoo ... -.-'
 
@candamir: Aber das gleiche bewirken wie wenn er es könnte! Auch wenn er sich damit dann wieder aussperrt :D
 
Keine Software ohne Bugs, entscheidend ist aber wie schnell eine Lücke geschlossen wird.
 
@John-C: In diesem Fall wird da aber schon recht lange mit rumgehühnert...
 
Finde es gut, dass die Details diesmal unter Verschluss gehalten werden.
 
@ebukadneza: Ist wie bei einer Diskussion über einen Kopierschutz... Macht sowas Sinn oder doch nicht? :)
 
@candamir: Ne, finde ich nicht. Eine Sicherheitslücke sollte auf jeden Fall bekannt gegeben werden, aber die "gefährlichen" Details sollten vorerst zurückgehalten werden, um den Programmierern Zeit zu geben und Missbrauch zu verhindern.
 
Der Titel ist falsch. Sollte heißen: "Windows: URI-Lücke stellt noch immer Problem dar". Denn erstens treten die o.g. Probleme nur unter Windows auf, zweitens liegt das Problem an einer Microsoft-Bibliothek, die mit der Einführung von IE7 fehlerhaft ist. Auch andere Programme (Miranda, Skype und wahrscheinlich viele mehr), die die Funktion nutzen, sind potentiell betroffen. Wieso wird das also dauernd als Firefox-Lücke bezeichnet?
 
@t1m1: Heißt also da ich kein IE7 auf dem Rechner habe, brauch ich mir über die Lücke keine Gedanken machen? Also wenn Du dafür was belegbares hast, dann bin ich ja beruhigt... wenn nicht, dann lieber die anderen reden lassen.
Fazit: Keine News, Berichte etc. in Frage stellen, wenn man seine Aussagen nicht mit Quellen bestätigen kann.
 
@t1m1: Weil die News ja sonst langweilig wäre...
 
@Scaver: Bitte lies doch mal den Artikel und die Quellen! Im Blog findet sich ein Link zur offiziellen Problembeschreibung: http://www.mozilla.org/security/announce/2007/mfsa2007-27.html - Zitat: "When running Firefox on Windows XP with IE7 installed,"...
 
@t1m1: stümmt genau :)
 
@t1m1: Nur weil Mozilla es abstreitet, und auf den IE schiebt, muss es nicht stimmen, MS würdet ihr die Fehlerbeschreibung so nicht abnehmen, da bin Ich mir sicher. Übrigens ist das hier mal lesenswert für euch: http://tinyurl.com/2j6d9t
 
@Species: Manchmal frage ich mich warum immer wieder die gleichen MS in Schutz nehmen müssen... Bekommt ihr Knete dafür? Holt ihr euch dabei einen runter? Kannst ja gerne mal das hier: "mailto:test%../../../../windows/system32/calc.exe".cmd" in Start / Ausführen einfügen und schauen was passiert... Soviel zum Thema FF (welcher dieser URI nach dem vorläufigen Workaround gar nicht mehr aufruft)... Das Problem muß an der Wurzel gepackt werden und nicht am Frontend (in diesem Fall FF, Skype, usw.).
 
@Departed: nun, weil auch immer die gleichen trottel gegen MS sind, egal um was es geht. wenn ihr mal lesen würdet, würdet ihr merken, das die betroffenen parteien zusammenarbeiten, weil der fehler nicht allein in win zu suchen ist. stellt euch vor MOZ und MS wären so dämlich wie "wir" und würden sich dauernd gegenseitig voll "trollen"/"flamen", nenn es wie du willst. euer ewiges MS ist an allem schuld, geht mir sowas aufn zeiger, siehe weiter unten der obertroll aus der sesamstr. und sein freund spreemaus!!! window snyder war übrigens früher bei MS, dort hat sie aber eurer meinung nach immer gelogen, weil MS ja nicht vertrauenswürdig ist, nun ist sie bei MOZ und sagt natürlich immer die wahrheit, selbst wenn das MOZ schaden würde. denkt mal drüber nach......
 
@Departed: Affiges Rumgestänker ändert auch nichts daran das selbst Mozilla kleinlaut eingestanden hat das genau dieses Frontend den Link prüfen muss der einfach nur an den FF weitergegeben wird.
 
__- gelöscht da Sinnlos bei verblendeten __-
 
Also ich sehe da nur folgendes: "IE stellt noch immer ein Problem dar"
 
@gl4di4t0r: Aber gesehen davon das dein Name für meinen Geschmack zuviele Zahlen hat - du hast jaaaa sooooo Recht!! :-) (+)
 
@gl4di4t0r: Ein klares (-) da selbst Window Snyder anderer Auffassung ist.
 
Wie dramatisch ist das Problem? Auf welchen Webseiten kann sowas überhaupt passieren?
 
@andreasm: Diesmal wurde durch eine mailto URI der Aufruf des Windows Scripting Host an den Windows File Handler weitergereicht, es hätte allerdings auch jedes andere Programm, dessen Pfad bekannt ist, gestartet werden können. Quelle: www.au-ja.com
 
@andreasm: nutz doch Linux, dann passiert son schmarrn erst gar nicht.
 
@sesamstrassentier: Da hast du aber ne ganz tolle Allzweckwaffe. Bei jedem Problem einfach zu Linux wechseln. Als ob es da keine Probleme gäbe.
 
Ich hab das ganze hier jetzt mal mitverfolgt. Ich bin weder für den einen noch den anderen. Ist mir so was von Wurscht. Aber: Ist es nicht so, dass ein Programm sich an das Betriebssystem anpassen sollte als umgekehrt das Betriebssystem an das Programm? Auch wenn jetzt etwas am BS geändert wurde, was einen Fehler auslöst, sollte der Softwarehersteller dies einfach wieder anpassen. Sowas passiert ja nicht tagtäglich und somit ist das auch keine Tragödie.
 
Jaja, 10 fucking days, nicht :) 2.0.0.5 war fehlerhaft, danach wurde 2.0.0.6 nachgeschoben, seither habe ich erhebliche Probleme mit Downloads, lade seither nur mehr mit FlashGet weil FireFox beinahe unbrauchbar dazu geworden ist. Und Firefox ist nachwievor extrem instabil beim anzeigen von vorallem größeren aufwendigeren PDF-Files, immerhin gibt es die Sitzungs wiederherstellen Funkion, damit man nicht wieder von ganz vorne beginnen muss. Hoffentlich wird zumindest das letzte Problem mal gefixt. Ich habe das auf 4 unterschiedlichen Rechnerkonfigurationen in unterschiedlichen Netzwerken, und kenne genug andere die am selben Problem leiden.
 
@caldera: Lustigerweise kommt bei mir auch immer die Sitzungswiederherstellungs-Frage wenn überhaupt nichts unnormales passiert ist. Sehr merkwürdig.
 
Wenn der Bug nur im Firefox und weder im IE noch Opera oder Safari etc auftritt, dann ist es (unabhängig davon, ob Windows selbst schlampig programmiert wurde und diesen Exploit erst möglich macht) trotzdem die Aufgabe von Mozilla zu verhindern, dass solch ein Exploit in ihrer Software ausgenutzt werden kann. Denn sie stellen mittels Browser das Eingangstor für evtl Angriffe dar. Wenn man im Web etwas programmiert (Perl/PHP), muss man auch jede Variable genügend prüfen, damit darüber kein Exploit möglich ist, der tiefere Eingriffe auf den Server erlaubt. Windows macht den Exploit zwar erst möglich, aber Schuld, dass der Exploit im Firefox nutzbar ist, ist ganz allein Mozilla, weil sie übergebene URLs nicht ausreichend validieren.
 
@XChrome: Der Fehler soll angeblich aber nicht nur im Firefox auftreten, sondern auch bei Skype, Miranda, ... und zwar auch erst nach dem Update auf IE7 (vgl. http://www.heise.de/newsticker/meldung/93535). MS muss somit irgendetwas verändert haben. Vorher war im Zusammenspiel von Windows mit der Drittsoftware noch keine diesbezügliche Lücke vorhanden, so dass erst die Veränderung bei MS die Lücke "aufgerissen" hat. Von Schuld zu reden ist mühselig, da natürlich die Drittsoftware sich an das Betriebssystem anzupassen hat. Das wird ja auch versucht. Vorwerfbar wäre die Sache daher gegenüber Mozilla allenfalls dann, wenn die Lücke unproblematisch in kurzer Zeit zu schließen wäre. Ob das der Fall ist, ist mir nicht bekannt. Andererseits sollte man auch von einem Betriebssystem erwarten können, dass nicht einfach Veränderungen durchgeführt werden, die bei Dritten im Zusammenspiel mit dem Betriebssystem Lücken aufreissen, die vorher nicht vorhanden waren und eben nach der Veränderung auch nicht nur bei einer Software auftreten. Wenn beispielsweise die Programmierer von Excel oder OpenOfficeCalc das Programm plötzlich per (automatischen) Update so verändern würden, dass die ganzen Altbefehle nicht mehr funktionieren, dann erschiene es auch sehr merkwürdig, nur (vereinzelten) Nutzern der Software vorzuwerfen, sie würden ihre Altdateien (die früher ordnungsgemäß funktionierten) nicht schnell genug an die neuen Befehle der geupdateten Software anpassen. Wer die Grundlagen erstellt, hat ebenso eine Verantwortung, dass die Grundlagen nicht einfach von heute auf morgen verändert werden. Zumindest bei Grundlagenerstellern, denen man ein gewisses Vertrauen entgegenbringen möchte. Wenn der Grundlagenersteller hingegen nur an sich denkt und ihm egal ist, was er bei Dritten verursacht, dann sagt das schon eine Menge aus.

 
ist doch eigenartig, das ausgerechnet jetzt so eine merkwürdige lücke auftaucht. Soweit ich das jetzt verstanden habe, gab es im FF 2.0.0.3 diese Lücke noch nicht? MOZ wird doch daran nix verändert haben ??? Das problem wird ein Windowsupdate sein welches mindestens 1 monat alt ist. Kennt sich nicht jemand mit diesen Hotfixes aus von Microsoft? Oder Winfuture erstellt doch daraus auch ne Installation. Fragen über fragen ^^ Ist FLOCK nicht auch ein MOZ produkt? Tritt der fehler da auch auf?
Kommentar abgeben Netiquette beachten!