Sicherheitslücke in Firefox ermöglicht Passwort-Klau

Sicherheit Der israelische Sicherheitsexperte Aviv Raff warnt derzeit vor einer kritischen Sicherheitslücke im beliebten Firefox-Browser. Seinem Bericht nach ist mit Version 2.0.0.11 die aktuellste Version des quelloffenen Browsers betroffen. mehr...

Diese Nachricht vollständig anzeigen.

Jetzt einen Kommentar schreiben
 
Ärgerlich, aber wird bestimmt in den Tagen schnell gefixt das Problem
 
@Schnubbie: hau rein, der is open source. selbst ist der mann.
 
@LoD14: Aber nicht jeder kann programmieren ,-) Bzw. hat Zeit/Lust, es zu lernen.
 
@LoD14: *lol* ich brech ab!
 
Selbst wenn das Problem nicht gleich behoben wird: HTTP-Autentifizierung erreicht in der Regel keine Otto-Normal-Benuter, weshalb ich meine, dass diese Spoofing-Lücke nicht so kiritsch ist.
 
@sDaniel: kennst dich aber nicht aus hmm? die meisten hosting provider verwenden zb: für passwortgeschützte verzeichnisse die basic authentication => basierend auf http headern. http://en.wikipedia.org/wiki/Basic_access_authentication.
 
@ matl1984: Ich weis schon vovon ich spreche. Aber anscheinend unterstelle ich den Leuten zu viel Hirn. Gerade jemand, der sich mit dem Web auseinandersetzt wird hier kritisch mitdenken - meine ich..
 
kennt jemand den bugzilla eintrag dazu? ich finde nichts
 
@andreasm: http://tinyurl.com/y75hb7
 
weiß einer vielleicht zufällig, ob es einen unterschied macht, ob man firefox mit oder ohne firewall benutzt?
 
@zibanac: Ist zimlich egal macht also keinen unterschied.
 
@zibanac: Erstens meinst du vermutlich eine Software Firewall, keine echte Firewall - was ein großer Unterschied ist. Zweitens natürlich macht es keinen Unterschied - was soll denn eine Firewall dagegen machen!?
 
@Lofote: also in meinem fall meine ich eine hardware firewall. ich habe ein linuxsystem auf meinem router. ich dachte mir nur, weil man ja scripte und so weiter blocken kann. deswegen meine frage. hab zwar ahnung, aber soviel auch nicht.
 
@Lofote: Was nutzt denn eine echte Firewall, wenn du ein Programm hast, welches auf das Internet zugreifen muss ?! - Angenommen du hast eine solche Firewall, willst aber mit dem FX ins Internet, - dann musst Du dem doch auch den Zugang rein/raus gewähren. Und schon können auch alle Erweiterungen von FX auf das Internet zugreifen, und die Tür steht nach innen über den FX offen.
 
@zibanac: Beruhigend, dass du eine echte verwendest :)... Zu deiner Frage aber trotzdem: Es wird nur dann von der Firewall geblockt werden, wenn diese stumpf alle HTTP-Auth-Anfragen blockt (was dich aber halt dann auch bei denen ausschliesst, auf die du drauf willst), oder wenn die Firewallfirmware diesen spezifischen Angriff kennt und damit die Pakete erkennen kann, die das ausnutzen. Das müsste dann eine Firewall mit automatisieritem Regeldownload sein und der Hersteller müsste eine solche Regel erstellt haben - was ich etwas unrealistisch ansehe, weil ja so wenig Infos bisher darüber gibt geschweige denn das "in the wild" ist :)...
 
@KamuiS: Ich habe nicht behauptet, dass eine Hardwarefirewall in diesem Fall eher was bringt. In diesem speziellen Fall müssten beide Arten Applikationsfilter haben, die die HTTP-Pakete inhaltlich anschauen... was ich für diesen Exploit für unrealistisch halte, dass es dafür schon Regeln gibt.
 
Noch ein Grund, den im Firefox integrierten Passwort-Manager auszuschalten... Ist das nicht einer dieser berühmten "Cross-Site-Scripting"-Problemen? Falls ja, müsste mich doch rein theoretisch auch die Erweiterung NoScript schützen... oder?
 
@Astorek: ich denke auch, dass noscript das erst mal wegblockt...
 
@Astorek: NoScript schützt hier nicht, weil das Problem nicht mit JavaScript zu tun hat. Der Fehler lässt lediglich zu, dass das Anmeldeforular einen falschen Titel ausgibt. Und um es nochmal zu sagen: Es sind nur HTTP-Authentifizierungen betroffen! Das normale Login wie hier bei Winfuture und praktisch allen DAU-Gerechten Webseiten sind *nicht* betroffen. Eigentlich sollte hier auch Firefox' Passwortmanager Helfen! Wenn ihr wisst, dass ihr für eine bestimmte Seite das PW gespeichert hat und sich eine Seite als die andere ausgibt wird das Formular nicht automatisch ausgefüllt. Wer dann nicht stutzig wird und das PW unbeschwert eingibt ist selbst schuld^^ Was natürlich kein Grund ist den Fehler nicht zu beheben, da wird sich Mozilla bald drum kümmern.
 
....nicht umsonst ist bei banken die seite so prg., dass die passwörter nicht speicherbar sind im browser.
 
@mf2105: Lol, da sind wohl die übelst Bank Hacker dran, um das zu vermeiden :) nein, jetzt im ernst. Weder sind normale HTML-Formulare wie sie auf nahezu jeder Webseite zu finden sind, betroffen noch sind Passwörter im PW-Manager gefährdet. Es geht hier um das Manipulierbare Aussehen der HTTP-Authentifizierung, die relativ selten genutzt wird (vor allem nicht von DAUs). Um sein Passwort klauen zu lassen müsste man es hier sogar eingeben. Ich nehme jetzt einfach mal an, dass Leute die mit HTTP-Auth arbeiten nicht so dumm sind, um drauf reinzufallen.
 
Sieht aus wie die Login Box die kommt wenn man etwas mit htaccess schützt.
Diese Login Box kommt doch in jedem Browser wenn man ein dementsprechend geschütztes Bild anklickt oder nicht?
 
@nkler: Ja, aber mei FF kann man anscheinend den Text der erscheint ändern. Damit soll der unbescholtene User sein Passwort an Fremde weitergeben. Das gute ist aber, dass diese Furmulare nicht von PW-Manager eingefüllt werden, weil der das PW über die Domain speichert nicht über den Bereichstitel. Der Benutzer muss also sein PW eingeben, damit es geklaut werden kann. Wie ich sagte denke ich das die HTTP-Auth nicht das Risiko ist, weil es relativ selten verwendet wird. Die meisten, die diese Methode nutzen bzw. das entsprechende PW gespeichert haben sollten sowiso nicht drauf reinfallen.
 
ha ha...firefox ownd XD
 
gegen 90% von sicherheitslücken wegen pws in firefox hilfs es ein masterpw zu benutzen.
Aber man muss sagen, es geht den bach runter mit firefox.. ist ja schon wie microsoft dauernt neue lücken, jeden tag auf updates checken...
 
@xxMSIXx: Du hast ja sorgen ich denke das es bis der fix kommt nicht lange dauern wird.
 
@xxMSIXx: Ist doch ganz einfach zu erklären. Es sind nicht mehr oder weniger Bugs als früher, es sind einfach nur mehr Leute die danach suchen.
 
@xxMSIXx: Also die Schlußfolgerung: Fehler = Software geht den Bach runter, erschließt sich mir nicht ganz und ist eher als sry "Dummschwätzerei" zu betiteln. Keine Software ist lückenlos und es kommt eher darauf an, wie schnell sich um das Problem gekümmert wird. Nicht die Fehler kategorisieren ein Programm, sondern der Support durch die Entwickler, die sich um die Probleme kümmern.
 
Sicherheitslücke in Firefox ermöglicht Passwort-Klau - Tja und im IE nicht... scheiß firfox eben :> ^^ /ironie aus. Naja langsam merkt man wirklich dass die auch nur mit Wasser kochen
 
@revo-: Wer braucht schon ein Passwort, wenn er das ganze System haben kann? :)
 
Jungs also der Artikel ist ja völliger Blödsinn, von wegen Bankdaten etc ausspionieren. Lest nochmal die Originalquelle und schreibt den Artikel nochmal. Man kann hier lediglich vorgaukeln, dass man der Login Dialog für eine Seite ist ,deren Link man zuvor angeklickt hat, nicht mehr und nicht weniger. Hier läuft also im Hintergrund überhaupt nix, sondern durch den HTTP_AUTH Dialog wird ein Username und Passwort zurück an den Server geschickt von dem aus der Link aufgerufen wurde, auf dessen Server kann dann eine Applikation den geschickten Usernamen und Passwort sammeln. Da aber fast nirgends im Internet HTTP Auth (Also Popup Dialog)verwendet wird, fällt auf die Lücke wirklich nur ein DAU rein.
 
@[U]nixchecker: Meinst du die Ping-Links ?
 
@[U]nixchecker: Tja das heuft sich bei winfuture leider das die überschrift mehr zählt als die fakten.
 
@[U]nixchecker: Och, es gibt noch sehr viele geschützte Bereiche, die über nen HTTP-Auth geschützt sind. Zum Glück haben noch nicht alle auf das (hübscher aussehende) Formbasierte Anmelden umgestellt.
 
@[U]nixchecker: Ist doch eigentlich egal, hier geht es darum das Firefox viel zu viele Sicherheitslücken hat und beschissen ist. Mehr nicht!
 
@gr4y: Jede Software hat Fehler und komplexe Software hat auch mal Sicherheitsfehler. Jede davon ist eine zu viel. Aber das Vorhandensein ist nicht das Kriterium das bestimmt, wie sicher eine Software ist.
 
@sDaniel: Man Man Man, muss ich denn jetzt immer Ironie-Tags einbauen damit ihr das kapiert?
 
@gr4y: Insgesamt sollte im Geschriebenen weniger Ironie drin sein. Wird einfach viel zu oft falsch verstanden und ernstgenommen. Vor allem wenn man keinen Hinweis auf die Ironie gibt. Ob du das mit Ironie-Tags machst oder mit nem vernünftigen Smiley sei dir überlassen.
 
opera ftw *duckundweg*
 
@Air50HE: Klar, Proprietär spricht ja für sich, net wahr? ^^
 
@Global-X: Don't feed the Trolls!
 
@Air50HE: Wobei man bei Opera nicht weis, vie viele Sicherheitslücken mit einem Release behoben werden. Bis vor kurzem hat Opera, wie Microsoft, nur behobene Lücken veröffentlich, die bereits öffentlich bekannt waren. Erst seit kurzem werden auch selbst entdeckte Sicherheitslücken standardmäßig in den Bugfixreport aufgenommen. Die Zahl der bekannten Sicherheitslücken ob behoben oder nicht ist außerdem nicht wirklich ausschlaggebend.
 
Mal abgesehen davon, dass jeder als hirnverbrannt zu bezeichnen ist, der sensible Bankdaten (TANs, Passwörter, ...) im Browser abspeichert (sofern das überhaupt möglich ist), speichere ich schon aus Prinzip nirgendwo Passwörter ab. Der gebotene Komfort ist zwar durchaus diskutabel, steht aber - zumindest für mich - in keiner Relation zur Sicherheit. Für mich führt der Umstand, dass man Passwörter abspeichern kann, die Passwörter selbst ad absurdum.
 
@dandjo: Um diese Daten gehts doch gar nicht. Hab noch keine Bank gesehen die HTTP-Auth verwendet!

Aber ist schon klar, sowas sollte wirklich nicht gespeichert werden. Die Leute sollten sich mal dran gewöhnen, einfache Passwörter zu erstellen, die effektiv sind. "Tempobau 2.0" ist doch einfach zu merken und erfällt viele Kriterien: * Kein existierendes Wort * Groß- und Kleinbuchstaben * Zahlen * Sonderzeichen: es muss nicht immer $W+f1g0 sein ...
 
Wenn es diese Lücke im IE geben würde hätte sich keiner von den Leuten darum geschert ob die Nutzer in Gefahr sind wenn man den Hack veröffentlicht , das wird immer veröffentlicht und 1 Tag später haben das alle Virenschreiber. Jetzt auf einmal enddecken Sie ihre Verantwortlichkeit ? Wers glaubt.
 
@~LN~: bla...
 
@~LN~: Also ich kann mir irgendwie nicht direkt vorstellen, dass diese Leute Codestücke bei einer bestimmten Software extra veröffentlicht, um damit eine frühzeitige und gravierendere Schädigung deren Nutzer zu bezwecken. Es sei denn der Entdecker war gerade ausgerechnet ein Cracker.
 
viel wind um nichts.
 
@willi_winzig: Finde ich auch. Micorosoft hat auch Sicherheitslücken in Windows festgestellt und da wird nicht so ein Aufstand gemacht.
 
@ Jan-Hendrikscholz: Offensichtlich liest du hier die Beiträge nicht wenn es um MS geht. Ich kann dir garantieren, dass der Aufstand noch viel intensiver wäre, wenn es hier um eine MS Produkt ginge. Gerade die MS Gegner lassen hier in WF keine Möglichkeit aus, ihre Unmut über MS loszuwerden. Oftmals mit fragwürdigen Argumenten, so dass WF immer mehr von Leuten gemieden wird, die etwas von der Materie verstehen. Die Beiträge sind hier oft voreingenommen, so dass WF immer mehr zu einer Kiddies Seite wird. Mit anderen Worten es gibt hier zu viele möchtegern Informatiker, die noch nicht einmal einen Schulabschluss. geschweige den einen Beruf erlernt haben und meinen sie könnten IT-Profis kritisieren. Ist nicht nur meine Meinung, aber es wird sicher nicht lange gehen, bis ich für diese Äußerung beleidigt werde. Bestätigt nur was ich jetzt hier geschrieben habe.
 
@Helena: Hallo Helena, ich wünsch dir noch ein gesundes Neues! :-)
 
kennt irgendwer jemanden der für den firefox schon was entwickelt oder gefixt hat? würd mich nur mal interessieren.
 
@matl1984: so hab das jetzt mit vb express 2008 nachgestellt. der firefox zeigt halt den realm header im user/passwort dialog an. am schluss des realm textes ist jedoch der domain name ersichtlicht: in meinem fall http://localhost:44444.
wenn das der firefox besser aufbereiten würde - nicht alles ganz grindig schiach hintereinander - dann würds eh passen oder hab ich da was versäumt?

http://img183.imageshack.us/img183/982/realmfirefoxsy8.png (alle leerzeichen im link entfernen)
 
@matl1984: An der Lücke wird momentan gearbeitet, und möglicherweise erfährt dann der ganze Dialog eine Überarbeitung, was sich wirklich nicht schlecht anhört. Ach ja, die Frage: Ich kenne Add-On-Autoren und weis auch von ein paar Entwicklern, die sich im MozillaZine-Forum aufhalten :)
 
Nochmal ein Grund warum ich Fire Fox nie benutzen werde ... Passwort Klau ... tztztztztztzz ... lächerlich.

IE Rules ! :-)
 
@Corrado Hounter: Genau, denn der IE hatte ja noch nie Sicherheitslücken :)
 
Global-X ... Natürlich hat der IE auch sicherheitslücken, aber nicht so gravierend wie der FF... mir hat der noch nie getaugt, aber , der eine mags der andere nicht ...
 
@Corrado Hounter: 1. Bitte blauen Pfeil Benutzen, danke. 2. Er hat das ironisch gemeint :) 3. Also im IE gab es auch Sicherheitslücken, mit denen ein Bösewicht, das ganze System übernehmen konnte! Also Achtung. Deine Browserwahl werde ich natürlich respektieren. Aber wenn du FF nicht magst und deshalb zu IE gehst, versuch doch noch eine andere Variante. Der Opera-Browser ist auch sehr gut und ist noch viel weniger das Angriffsziel von Hackern usw. Du kannst ihn auch relativ gut Konfigurieren, so dass er sich besser ins System einfügt, als es standardmäßig der Fall ist. Daneben gibts auch noch Safari 3 Beta, aber der wird wohl nichts taugen zum täglichen surfen^^
 
@Corrado Hounter: "Natürlich hat der IE auch sicherheitslücken, aber nicht so gravierend wie der FF" ... Muuuhhhaaa , lange nicht mehr so gelacht! ,-)
Kommentar abgeben Netiquette beachten!

WinFuture Mobil

WinFuture.mbo QR-Code Auch Unterwegs bestens informiert!
Nachrichten und Kommentare auf
dem Smartphone lesen.

Folgt uns auf Twitter

WinFuture bei Twitter

Interessante Artikel & Testberichte

WinFuture wird gehostet von Artfiles