Firefox: Lücke in den Entwicklerversionen behoben

Die Mozilla Foundation reagiert auf die von Secunia entdeckte Lücke in Firefox und Mozilla und hat diese in den aktuellen Entwicklerversionen bereits behoben. Wie in einem Bugzilla-Eintrag diskutiert wurde, sei sie erst wieder seit Version 1.0.3 ... mehr...

Diese Nachricht vollständig anzeigen.

Jetzt einen Kommentar schreiben

[o1] am ++--

Da wäre jetzt die Updatefunktion die mit der Version 1.1 kommen wird Gold wert.

[re:1] am ++--

@swissboy: Da gebe ich dir heute mal Recht. :) Ich finde so eine Updatefunktion auch wirklich sehr gut und vermisse die oft in Firefox.

[o2] am ++--

also bei meinem firefox 1.0.4 habe ich den bug nicht :)

[re:1] am ++--

@Cryptor: Es ist einiges zu beachten damit der Exploit funktioniert: http://www.winfuture.de/news,20867.html

[re:2] am ++--

@Cryptor: Du hast warscheinlich auch alles in tabs offen, daran liegt es, dass der bug nicht reproduzierbar ist mit diesem poc, was allerdings nicht heißt, dass er nicht funktioniert, wenn man anderen Schadcode verwendet.

[re:3] am ++--

@Cryptor: mir egal, sollen die doch kommen mit ihren würmern und viren :)

[o3] am ++--

".... sollte der Besuch von nicht vertrauenswürdigen Seiten nach Möglichkeit vermieden werden." Immer ein guter Tipp, da weder Browser noch Antiviren- und Antidialersoftware oder auch Firewalls 100% sicher sind. Woran erkenne ich vertrauenswürdige Sites? Ist www.winfuture.de vertrauenswürdig? :-)

[re:1] am ++--

@saltarello: Das ist sicher Auslegungssache, aber winfuture würde ich eher als vertrauenswürdig einstufen als eine dubiose xxx-Seite.

[re:2] am ++--

@saltarello: Nüchtern betrachtet ist keine Seite vertrauenswürdig da nahezu jede Seite kompromitiert werden kann. Auch auf Winfuture.de kannst du dir unter bestimmten Umständen Malware einfangen. Bei der Lücke sind aber zuviele Umstände nötig als das man sich da Sorgen machen müsste.

[o4] am ++--

So gesehen ist die Lücke eh nicht wirklich ausnutzbar... wieder nur unter Laborbedingungen möglich. Daher auch die geringe Einstufung. Mal sehen ob die überhaupt nebenbei gefixt wird oder erst mit 1.1.

[re:1] am ++--

@Chuck: Wer sagt das? Popup Fenster der Seite 1 mit Lücke der Seite 2 und ein standard Firefox mit dynamischem Code und du bist verwundbar.

[re:2] am ++--

@frowinger: Genau, von Secunia wird die Sicherheitslücke ja auch immerhin als "Moderately critical" (mässig kritisch) eingestuft.

[re:3] am ++--

@frowinger: Nein, es muss erst eine sichere Seite vorhanden sein die unangetastet rumliegt und dann kann die Schwachstelle greifen... sorry, wer soviel Interaktion mitbringt hängt sich auch aus Versehen auf. Die Lücke ist mässig kritisch wegen der Folgen die sie haben kann. Die Chance das diese ausgenutzt wird ist minimal.

[re:4] am ++--

@Chuck: Du musst einen Nutzer doch nur dazu bekommen, eine Seite zu besuchen, wo er zu einer "sicheren" Seite umgeleitet wird. Nehmen wir an es ist die Seite der Deutschen Bank (kA ob die Frames einsetzen *g* egal). Nun leitet die Seite nicht nur weiter, sondern öffnet mit Javascript ein Popup zeitversetzt und injiziert den Schadcode in die "sichere" Seite. Schon ist du verwundbar.

[o5] am ++--

Wird doch ordentlich egarbeitet an der Sache. verstehe nicht,w arum vor Monaten die NAchricht rauskam, dass kein FF-Entwickler mehr an FF arbeitet bzw. dass es viel zu wenig sind. Scheinen doch allerhand Coder zu sein!?

[re:1] am ++--

@The Knight: Den Fehler zu beheben war wohl eher eine Kleinigkeit da er ja schon einmal behoben war.

[re:2] am ++--

@The Knight: Es hies damals, dass es wenig Tester gibt, nicht Coder. glaube ich jedenfalls

Bearbeitet am 08.06.05 um 19:44 Uhr.

[re:3] am ++--

@swissboy: Komisch, wenn im IE eine Lücke erst nach Monaten gestopft wird, dann kommt von dir immer der Spruch "na der hat ja so viele Codes, dass kann schon mal dauern"... :-)

[re:4] am ++--

@money_penny: Netter Versuch! :-)

[re:5] am ++--

@swissboy: Du mich also verstanden :-)

[re:6] am ++--

@money_penny: Wenn es wieder darum geht das FF 1.1 sich verzögt wird der Herr wieder schreiben 'Kein Wunder, die Zwischenversionen haben auch viel Zeit gekostet.' Nichts Neues mit swissboy... es wird so ausgelegt wie es am besten passt. Die Aussagen das es an Mitarbeitern mangelt waren wie sich gezeigt hat nichts als Panikmache. Wenn man wie ich die Entwicklung etwas intensiver mitmacht dann weiss man da es dort nirgens an Personal mangelt.

[re:7] am ++--

@money_penny: Ich finde es bringt nichts in einer Firefox-News über den IE anfangen zu diskutieren. Das endet höchstens in einem Browser-Krieg. Darum sollten wir dies hier lassen. Die Logik, das die Behebung diese Fehlers bei Firefox nicht allzu viel Zeit gekostet haben kann da er ja schon einmal behoben war, ist wohl nicht falsch. Es sei denn sie bringen deshalb extra eine neue Version 1.0.5 heraus, was ich aber nicht glaube.

[o6] am ++--

Ich finde diese News etwas unklar formuliert... ist sie nun nur im Branch behoben, nur im Trunk, nur in der skandinavischen Sprachversion des Trunks, in der russischen des Branchs? Es gibt ja nun bei Firefox "einige" Entwicklerversionen und nicht immer wird alles in beiden Trees gleichzeitig behoben.