Mozilla bestätigt Sicherheitslücke im Firefox-Browser

Browser Das Firefox-Entwicklerteam bei Mozilla hat die Existenz einer Sicherheitslücke in der Version 3.5 des Open Source-Browsers bestätigt. Derzeit arbeite man an einer Behebung des Problems, hieß es. mehr...

Diese Nachricht vollständig anzeigen.

Jetzt einen Kommentar schreiben
 
Würde auch Noscript ausreichen?
 
@Sabziero: Ja
 
@Sabziero: Kommt auf deinen Umgang damit an
 
@Sabziero: Es reicht sogar, einfach das Gehirn anzuschalten, nicht auf irgendwelche Spamlinks o.ä. zu klicken etc. cool, nicht?
 
@Creasy: Wenn die scripts ueber Werbung querverlinkt werden, dann hilft dir das gar nichts. Nicht alles wird von Adblock geblockt. Manchmal reichts sogar das Hirn anzuschalten bevor man andere anweist das Hirn anzuschalten, cool nicht?
 
Bis das Patch bereitsteht stimmt so nicht was da steht. es heißt: Bis der Patch...........
 
@urbanskater: Bis dat Patch! Oder: Bis dem Patch! Am richtigsten (Achtung :) ) wäre glaub ich aber "Bis ein Patch"
 
@urbanskater: Nicht unbedingt... Patch steht für "der Flicken" und "das Füllstück". Da selbst das Wort im Duden mit "das" steht, muss ich dir leider widersprechen :)
 
@Fallen][Angel: so schaut es aus. Laut duden.de: 1. Patch [pæt], das: -[s], -s [engl. patch = Fleck, Flicken] ...
 
@urbanskater: Ich sage es doch immer, dass wir das universale "de" brauchen. de Haus, de Baum, de Karotte, - de patch ^^
 
@Sehr-Gut: Bitte nicht diese Gossensprache.
 
@Sehr-Gut: Besser wär's wohl statt noch mehr auf unsere Sprache zu scheißen lieber Anglizismen einzudeutschen... ^^
 
@Sehr-Gut:
Also ich hab geschmunzelt :)
 
@Sehr-Gut: lass mich raten: kaya yanar - made in germany? xD für alle anderen: http://www.youtube.com/watch?v=07DMDx_u98o
 
@Sehr-Gut: hört sich wie kölsch an.
 
@moniduse:
Kölsch wäre eher: dä oder ene :) dä Huus, dä baum, dä murre, dä pätsch :)
 
@Hotzenplotz: Und der Sachse? Een Haus, een Bom, een Mörä, een Pädsch
 
@mr.return: Wo ist das bitte Gossensprache? Haste noch nie Gossensprache gehört, alta???
 
@Sehr-Gut: Das ist TurkDeutsch.
 
@Sehr-Gut: Danke für den Schmunzler :)
 
@Sehr-Gut: am besten lassen (wir) (den) Artikel doch ganz weg^^
 
ist ja leider recht häufig. Aber daran ist wohl die Beliebtheit schuld. Zum Glück benutze ich den nur als Zweitlösung.
 
@kubatsch007: und du benutzt was?
 
@hARTcore: Den "Underdog"
 
@hARTcore: Die Erstlösung ! ^_^
 
@kubatsch007: warscheinlich IE6 in der Hoffnung das keiner mehr die Lücken angreift :D
 
NoScript + Adblock ist ohnehin Standard.
 
@ingo9999: Vielleicht dein persönlicher. @Topic: Ich find immer toll, was angeblich als "einfach" gekennzeichnet wird. Sofern man mal auf einen normalen Benutzer trifft, welcher seinen PC mal nicht eingehender kennt, empfindet der rumfuchteln über about:config bestimmt nicht als einfach :(
 
@Fallen][Angel: da stand ja auch "relativ einfach" :-) Und man kann's ja so erklären: man gibt eine ganz besondere adresse einer ganz besonders schlecht designten Internetseite ein und setzt dann diese Option mit dem lustigen Namen auf den nicht korrekt geschriebenen "falsch" Wert :)
 
@|Freeman|: LOL, der war gut...

Ich habs grad trotz NoScript man deaktiviert, werds dann beim FF 3.5.1 wieder aktivieren...^^
 
@XP SP4: das würde ich vergessen. Deswegen lass ichs einfach aktiviert und surfe nicht auf dubiosen Seiten rum...
 
@Fallen][Angel: "Durch die Eingabe von "about:config" in die Adresszeile" und ich find erstaunlich, für wie dumm manche den Durchschnittsnutzer halten.
 
@ingo9999:
Richtig, ich versteh nicht wieso du (und ich jetzt bestimmt auch) Minuse bekommst.
Also AdBlock sollte standartmäßig im Firefox integriert und aktiviert sein, NoScript auch dabei, allerdings nicht aktiviert.
 
@Gord3n: Er bekommt minus, weil es eben nicht Standard ist, und es ist auch nicht die Aufgabe von Erweiterungen Sicherheitslücken zu entschärfen.
 
@Gord3n: Falsch und falsch! Nichts dergleichen muss standardmäßig isntalliert sein, da folgende Dinge zu beachten sind: Adblock: Werbung zu blockieren, bedeutet auch die Einnahmequelle für diverse Webseitenbetreiber zu torpedieren, vorallem wenn sie nur dezente Werbebanner schalten, welche dann aber standardmäßig blockiert wird. Man sollte von daher gut darüber nachdenken, ob es wirklich sinnvoll ist. Klar gibt es Werbung die wirklich nervt, (Layer-ads), aber die Seiten, auf denen ich häufig bin, haben sowas nicht und beim Rest kann ichs verschmerzen.
Zum Thema NoScript: Ist meiner Meinung nach ein Overkiller. Nervt mehr, als es nutzt. Zumal Schadcode auch auf vertrauenswürdigen Seiten eingeschläust werden kann, wo man ja in der Regel JS erlaubt. Sinnvoller ist es JS gezielt für bestimmte Dinge abzuschalten bzw. bestimmten Code zu blockieren. SecureLogin z.B. macht das, um einen sinnvollen Schutz der Passwörter vor XSS zu gewährleisten.
 
@DrakeTwo: Du sprichst mir aus der Seele. Habe selber eine ganze Zeit lang NoScript benutzt, aber leider war es nicht kompatibel zu meinen Nerven! Es ist einfach nur extrem nervend wenn ich etwas im Internet für mein Studium recherchiere und laufen Webseiten temporär erlauben zu müssen. Deswegen habe ich es bereits vor einigen Monaten deaktiviert und später deinstalliert. Letztenendes kommt es eh darauf an, dass man nicht auf alles klickt was blingt. Man sollte immer vorausschauend surfen. Wenn eine Linkadresse schon "irgendwie komisch aussieht", dann sollte man diesen Link auch nicht aufrufen.
 
@webmaster_sod: Gibt sicherlich einige die noch http:// davorschreiben, weil das da ja eh immer steht. Oder ein www. ^^
 
@DrakeTwo: "Adblock: Werbung zu blockieren, bedeutet auch die Einnahmequelle für diverse Webseitenbetreiber zu torpedieren" Bei der Masse an Werbung im Web kann man darüber nur lachen :-/
 
@bigls: Da sich viele Seiten ausschließlich über Werbung finanzieren (auch Winfuture u.ä.), kann man eben nicht drüber lachen.
 
Ist ja eigentlich klar. Die Engine von Firefox ist deswegen deutlich schneller, als die vom IE, weil diese eben auch recht unsicher ist. Der IE führt JavaScript deutlich langsamer aus, dafür aber bedeutend sicherer.
 
@Jones111: Beweise, Quellen oder Bestätigungen für diese Theorien?
 
@Jones111: schonmal von ActiveX gehört? Schonmal Bugnews über ActiveX gelesen?
 
@Jones111: Hast du Glückskekse gegessen, oder einen Warmwetter-Hormonschub in der Bude bekommen? Wo hast du denn diese äußerst dubiose These her? Die Engine von Firefox ist schneller, da sie ständig optimiert wird, genauso wie die es IE von Microsoft. Nur ist die riesige Programmiergemeinde von Mozilla deutlich schneller als derer von Microsoft. Und sonst kann ich da nur CruZad3r zustimmen, lies dir mal Bugnews, oder Securitynews über den IE und vom FX durch. Du wirst mit erstaunen feststellen, dass der FX weniger Lücken aufweist, und schneller gefixt werden, als die des IE. Das ist nunmal Tatsache und lässt sich in jeder PC-Zeitschrift anhand von Diagrammen ablesen.
 
@Jones111: manchmal denk ich echt MS persönlich schreibt hier einträge wenn ich sowas lese. Der rest wurde schon über mir gesagt.
 
@Jones111: Junge! Kuckst du korrekt hier, Alda:
http://tinyurl.com/nlcwpt <-JavaScript-Engine Benchmark von allen gängigen Browsern. Nach deiner Theorie müssten dann Chrome 2.0 und Safari 4.0 die unsichersten Browser in Bezug auf JavaScript -Ausführungen sein. Opera liegt hinter FF3.5 und gilt als der sicherste Browser. Mädels, jetzt gebt ihm doch kein Minus. Was ist wenn er Recht hat und die Softwareentwickler bei Mozilla die Sicherheit aufgrund der Geschwindigkeit vernachlässigt haben? Ich kann es mir eigentlich auch nicht vorstellen, aber ich habe einen schlechten Beigeschmack beim Lesen dieser News Und wieso setzen sich Chrome 2.0 und Safari 4.0 so deutlich ab von der Konkurrenz?
 
@CruZad3r: Schonmal zwischen ActiveX und JavaScript unterschieden?
 
Habe mir den Quelltext mal besorgt und ausprobiert. Avira motzt bei mir sofort rum, wenn man versucht ihn auszuführen. Übergeht man die Warnmeldung, stürzt bei mir Firefox ab. Win7 fragt jedoch sofort, ob man den FF-Prozess abbrechen möchte.
 
Ne der gute Firefox eine Sicherheitslücke ? Sowas gibts doch nur beim Internet Explorer ?? Tz tz
 
Moment mal, es wird doch immer propargiert, wie gut OpenSource ist, weil tausende und abertausende von Menschen in den Quellcode reinschauen können und das Fehler innerhalb von 1 Sekunde ausgemerzt sind. Warum ist der Fehler noch nicht bereinigt? Warum hat niemand den Fehler vorher bemerkt, wo doch tausende Menschen mit dran arbeiten?? Fragen über Fragen
 
@airlight: Was besseres zum Trollen ist dir jetzt auch nicht eingefallen, wie? Ich nenne es mal "Klammern an Strohhalmen", um hauptsache wieder bashen zu können. Du müsstest eigentlich selbst drauf kommen, dass dein Kommentar der reinste Blödsinn ist. Es ist aber nunmal Fakt: Mozilla kümmert sich schnellstmöglich um die Sicherheitslücken und genau darauf kommt es an.
 
@airlight: Ist doch egal ob OpenSource oder nicht, es ist NUR Software die soll einfach nur funktionieren und nicht euer leben bestimmen. Ihr macht auch immer nen Pups aus solchen Kleinigkeiten.
 
@airlight: Den Quellcode schaut sich außer den Programmierern doch sowieso niemand an. Warum auch? Die wenigsten Menschen haben doch überhaupt fundierte Kenntnisse was Software-Programmierung betrifft. Als wenn man anhand von ein paar Dutzend Zeilen Quellcode sagen könnte: "Da läuft was falsch!" Völliger Blödsinn. Das können nur die Programmierer dieser Software beurteilen, weil sie auch den Rest des Codes kennen.
 
@Alter Sack:
Wieso werden dann die meisten Sicherheistlücken von externen Spezis aufgedeckt?

@DrakeTwo:
Wo trollt da wer, es werden ledigdlich die üblichen Argumente der OpenScoure Gemeinde aufgeführt, dummerweise scheint das Prinzip mit dem offenen = sicheren doch nicht so recht zu funktionieren.
Davon abgesehen, wenn wer einen Browser wie den FF 3.5 von dem selbst die Entwickler sagen das darin noch schwere Fehler vorhanden sind als "fertige Version" freigibt .....
 
@airlight: Man kann immer nur Fehler in einer Software nachweisen, aber niemals die korrekte Funktion. Eine Korrektur des Fehlers wird es sicher in spätestens einer woche geben. M$ bekommt die Sicherheitslücke "ActiveX" ja schon seit Jahren nicht in den Griff. Von daher sollten mal alle M$ Fanatiker still sein mit dem gepöbel gegen OpenSource Software.
 
@dediee: Das Thema ist doch banal und lächerlich. Jeder mit ein bischen Grips weiß, dass es keine fehlerfreie Software gibt. Und es wurde mit Sicherheit auch nie behauptet, dass OpenSource völlig fehlerfrei ist. Solange Programme von Menschen geschrieben werden, werden diese auch nie fehlerfrei sein.
Von daher ist es nichts weiter als Getrolle, ganz einfache Kiste.
 
@dediee: Du verstehst da was falsch. Sicherheitslücken kann man auch aufdecken, ohne den Quellcode zu kennen. Sonst wären Microsoft-Produkte die sichersten der Welt :-)
 
Ihr rallt es nicht oder? Open Source hat den Vorteil, dass Sicherheitslücken auch einfacher von Außenstehenden gefunden werden können. Auch schützt es in gewissem Maße vor der Implementierung von Backdoors und der gleichen, durch den Entwickler. Diese "Jetzt müssen alle Fehler und Lücken sofort gefunden werden, sonst ist diese Konzept gescheitert und ich kann wieder fröhlich trollen", kann nun wirklich nicht euer Ernst sein. Man sollte vielleicht eher mal vergleichen, wie viele Lücken dank OS gefunden werden konnten und wie schnell sie behoben wurden, statt sich an sowas aufzuhängen.
 
@airlight: Die Lücke ist erst seit gestern bekannt! Nimm doch den IE 8 der hat seit 1 Jahr Sicherheitslücken drin.
 
@root_tux_linux: Wurden die nicht Gestern gefixt, weil sie blöderweise entdeckt wurden?^^
 
@OttONormalUser: Is möglich. Aber ich fand die Schlagzeile "Microsoft verheimlicht Sicherheitslücke seit 1 Jahr und 1 Monat" richtig beeindruckend. :)
 
@dediee:
Naja weil diese sich drauf spezialisieren und nur danach suchen.
Wenn du 24/7 RTL schauen würdest, würdest du auch kennen wann welche Sendung kommt.

Opensource oder nicht ist dabei völlig egal, man muss einen Weg finden die alte Lücke zu beheben ohne dabei eine neue zu erstellen. Außerdem haben die wenigsten Menschen Ahnung wie man solche Lücke findet und noch weniger wie man die schließt.
 
@root_tux_linux: Hab gerade mal mein XP in der VM auf den neusten Stand gebracht, laut Secunia PSI wird mir das hier http://secunia.com/advisories/24314/ immer noch gelistet ohne Lösung, das wir MS doch am gestrigem Patchday nicht vergessen haben?
 
@OttONormalUser: Wir bekommen Minus. Wir sollten die Fakten lassen und die rosaroten Brillen aufsetzen. *Aufsetz* Open Source ist doof! Es lebe Microsoft!
 
@root_tux_linux: Nö, ihr solltet nur nicht immer so extrem sein und in den Kategorien denken das alles von MS kommt Sicherheitslücken hat und schlecht ist, und das alles was OpenSource ist automatisch gut und sicher ist. Das stimmt einfach nicht. Ich bezweifel mal ganz ganz stark das z.B. beim Firefox sich irgendjemand hinsetzt, den Quellcode 2-3 Wochen studiert und dann ne Sicherheitslücke findet. Das ist völlig unrealistisch. Es wird eher so sein, das die fertig kompilierten Browser durch Tests gejagt werden um z.B. Buffer Overflows zu finden. Und das kann man halt ebensogut mit ClosedSource-Software machen.
 
Geschieht den Browser-Amateuren ganz recht. Warum nehme die auch den unsicheren Frickelfuchs??? Profis schwören auf Opera.
 
@Moesje van Antje: Solch sinnfreie Kommentare solltest Du lassen!
 
@Moesje van Antje: Software wird von Menschen gemacht, und Menschen sind nunmal nicht Perfekt. Also enthällt auch jedes Erzeugnis irgendwo Fehler. Und die werden beim Fuchs ja schnell ausgemerzt. Und nur weil hier nichts von Opera-Lücken steht heisst das nicht das er keine hat :) Die Wahl der Browser entscheidet sich in meinen Augen nur noch durch eins, nämlich den Geschmack des Nutzers :)
 
@Moesje van Antje: Genau, denn Opera hat ja keine Sicherheitslücken und wird auch nie welche haben...Du bist kein Profi, sondern ein naiver Vollidiot.
 
Liebe Opera-Fanboys, wollte ihr es nicht wahr haben, dass auch euer Browser Lücken hat oder wie sind die Minuse zu verstehen?
 
@Moesje van Antje: Lachs oder Forelle bevor es wieder in die Höhle rein geht?
 
Falls den Herren hier entgangen ist, die Lücke ist erst seit GESTERN bekannt und Mozilla hat schon darauf reagiert. Andere Softwareschmieden patchen Lücken nicht mal nach 1 Jahr. Also lasst das getrolle. Mozilla macht nen super Job!
 
@root_tux_linux: Wo wir wieder beim Thema "an Strohhalme klammern"wären. Du weißt doch, erlaubt sich ein OpenSource-Produkt mal eine Sicherheitslücke, haben unsere Trolle und Flamer doch wieder ihren Sinn des Lebens gefunden, welcher nicht nur ihre Daseinsberechtigung sichert, sondern darüberhinaus auch ihr tristes Leben mit Inhalt füllt. Anstatt sich mit sinnvollen Tätigkeiten auseinanderzusetzen, wird jede noch so lächerliche Gelegenheit genutzt, um dagegen zu wettern.
 
@root_tux_linux:
"Reagieren" würde für mich bedeuten das sie einen Patch einspielen der JIT automatisch bis zur Behebung der Sicherheitslücke deaktiviert. Der größte Teil der Internetuser der sich nicht für entsprechende technische Newsseiten interessiert bekommt bisher von dem Problem absolut nichts mit und surft ungeschützt durch die Gegend.
Man mag von Google Chrome halten was man will, aber deren Updates im Hintergrund finde ich vorbildlich. Die handhaben es mit den Patches und Sicherheitsupdates so wie es für die "normalen Benutzer" (die den größten Anteil ausmachen) am besten ist - einfach im Hintergrund updaten ohne das der User etwas machen muss. So lang der User "aktiv" zum Patchen beitragen muss (und sei es nur ein OK/Abbrechen Dialog) wird es immer Millionen von unsicheren Zombie Rechnern geben.
 
@DrakeTwo:
Wo erlaubt sich den "ein OpenSource-Produkt mal eine Sicherheitslücke", in den letzten Monaten führen diese Produkte die Tabelle ungeschlagen an(auch wenns weh tut).

Was das schnelle des stopfens anbetrifft, so weis doch hier keiner wie lange im Hintergrund schon an einem Flicken gearbeitet wurde "ohne" das die Lücke bekannt war(egal was für ein BS).

Wie schon des öftern hier erwähnt wurde ist eine "Software" nie unfehlbar EGAL aus welchen Stall sie kommt, aber die Meinungen von manchen Usern sind definitiv arg fehlbar.

Ich persönlich nutze Privat sowie Beruflich Windows und auch diverse Linux-Distris, als Browser nutze ich Privat den jenigen der mir das was ich Online gerade erledigen möchte am besten erledigt(IE, FF, K-Meleon, oder Opera).
Somit behaupte ich mal das ich etwas aus dem üblichen Gefilde der "Fanboys" ausbreche und nicht einfach nur das übliche Gespame lostreten will.
 
@leif1981: Lücke gemeldet... Innert EINES Tages abgeklärt ob und wie gravierend die Lücke ist... Arbeit am Patch begonnen. Also wenn das nicht Reagieren ist dann weiss ich auch ned. Sofern die Devs ned Harry, Ron und Hermine heissen werden sie auch ned zaubern können. Ich finde es auf jeden Fall vorbildlich von Mozilla.
 
@dediee: "in den letzten Monaten führen diese Produkte die Tabelle ungeschlagen an" Und woran machst du das bitte fest?
"Somit behaupte ich mal das ich etwas aus dem üblichen Gefilde der "Fanboys" ausbreche und nicht einfach nur das übliche Gespame lostreten will." Die ganze Diskussion ist sinnlos. Nur gibt es immer wieder Pfosten, die provozieren und so eine Schwachsinnsdiskussion lostreten, indem sie sich dumm stellen und absichtlich Flamen ala "ach OS-Software hat auch Lücken". Sowas ist so schwachsinning, das geht auf keine Kuhhaut mehr.
 
@root_tux_linux:
Mir geht es einfach darum das sie wissen wie sie die Gefahr derzeit bannen können (JIT dektivieren) - dies aber nicht per automatischen Patch sofort unsetzen sondern damit die Verantwortung auf den User schieben bis der nächste Patch die Lücke endgültig schließt. Für die Leser dieser oder ähnlicher Seiten stellt es kein Problem da, aber für die User die sich sonst nicht mit der Technik befassen wollen schon. Es sind die kleinen und spontanen Patches die ich beim FF in solchen Fällen immer vermisse (was viele andere aber auch nicht besser machen).
 
7 Seiten Kommentare - und alle fürn Arsch. Da reih ich mich doch gerne ein :)
 
@Atlanx: wenn du Javascript aktiviert hättest, wäre es nur eine Seite :)
 
@Atlanx: Ich finde der Browserkrieg ist immer wieder sehr schön anzusehen. :) (+)
 
@die Schaulustigen, die keeenen Bock auf BrowserKriech haben: kann mir einer von euch vllt. erklären, wieso Safari 4.0 und Chome 2.0 so gut bzw. schnell bei JavaScript-Ausführung abschneiden, im Gegensatz zur Konkurrenz? Werden irgendwelche Sicherheitsroutinen übersprungen oder haben die wirklich so eine optimierte Engine? Hier der link von Computerbase: http://tinyurl.com/nlcwpt . Schon mal Danke im Voraus.
 
@Malow17: zu aller erst: Das ACID-Tests nichts aussagen, da sind wir uns einig oder? Zu den Javascript-Tests: Chrome nutzt die Rendering-Engine von Safari. Firefox setzt auf die Gecko-Engine wobei Chrome und Safari die WebKit-Engine benutzen. Google mal danach.
 
@Malow17: Traue keinem Benchmark den du nicht selbst gefälscht hast! Ganz ehrlich, den Kiddies die sich an einem Benchmark aufgeilen ist nicht mehr zu helfen. Mein FF 3.5 läuft hervorragend und ich kann keinen Unterschiede zw. FF, IE und Opera feststellen, in sachen Geschwindigkeit (Chrome und Safari sind nicht installiert). Auch der ACID3-Test ist eher als ein grober anhaltspunkt anzusehen und sagt nicht wirklich etwas über einen Browser aus. Aber gut, glaubt ruhig weiter an eure Benchmark- und ACID3-Märchenwelt.
 
@seaman: Ich nehme Benchmarks nur als grobe Richtlinie, nicht als Fakt oder Beweis. das Safari und Chrome in diesem Falle besser sind was JS-Darstellung angeht ist definitiv bewiesen. Ob man sich auf die dort angegebenen Werte verlassen kann ist eine andere Geschichte. Aber was mir aufgefallen ist: der wirklich große unterschied entsteht doch erst durch die Webkit-Engine, wie kannst du also behaupten du merkst keinen Unterschied wenn du die Engine noch nicht getestet hast? :)
 
Wollte eigentlich nur sagen, das die fehlerbereinigte deutsche Version 3.5.1 offiziell in den nächsten 1 bis 2 tagen freigegeben wird. Die englischsprachige version ist heute schon verfügbar. Siehe http://www.chip.de/downloads/Firefox_31996356.html
 
ist schon draussen, besonders freue ich mich wieder über den "1.5 sec Start" - mit der 3.5er dauerte es immer 7sec mit plugins und ohne sowie mit updatesuche sowie ohne.
Kommentar abgeben Netiquette beachten!

WinFuture Mobil

WinFuture.mbo QR-Code Auch Unterwegs bestens informiert!
Nachrichten und Kommentare auf
dem Smartphone lesen.

Folgt uns auf Twitter

WinFuture bei Twitter

Interessante Artikel & Testberichte

WinFuture wird gehostet von Artfiles