Firefox: Lücke in den Entwicklerversionen behoben

@swissboy: Da gebe ich dir heute mal Recht. :) Ich finde so eine Updatefunktion auch wirklich sehr gut und vermisse die oft in Firefox.

@Cryptor: Es ist einiges zu beachten damit der Exploit funktioniert: http://www.winfuture.de/news,20867.html

@Cryptor: Du hast warscheinlich auch alles in tabs offen, daran liegt es, dass der bug nicht reproduzierbar ist mit diesem poc, was allerdings nicht heißt, dass er nicht funktioniert, wenn man anderen Schadcode verwendet.

@Cryptor: mir egal, sollen die doch kommen mit ihren würmern und viren :)

@saltarello: Das ist sicher Auslegungssache, aber winfuture würde ich eher als vertrauenswürdig einstufen als eine dubiose xxx-Seite.

@saltarello: Nüchtern betrachtet ist keine Seite vertrauenswürdig da nahezu jede Seite kompromitiert werden kann. Auch auf Winfuture.de kannst du dir unter bestimmten Umständen Malware einfangen. Bei der Lücke sind aber zuviele Umstände nötig als das man sich da Sorgen machen müsste.

@Chuck: Wer sagt das? Popup Fenster der Seite 1 mit Lücke der Seite 2 und ein standard Firefox mit dynamischem Code und du bist verwundbar.

@frowinger: Genau, von Secunia wird die Sicherheitslücke ja auch immerhin als "Moderately critical" (mässig kritisch) eingestuft.

@frowinger: Nein, es muss erst eine sichere Seite vorhanden sein die unangetastet rumliegt und dann kann die Schwachstelle greifen... sorry, wer soviel Interaktion mitbringt hängt sich auch aus Versehen auf. Die Lücke ist mässig kritisch wegen der Folgen die sie haben kann. Die Chance das diese ausgenutzt wird ist minimal.

@Chuck: Du musst einen Nutzer doch nur dazu bekommen, eine Seite zu besuchen, wo er zu einer "sicheren" Seite umgeleitet wird. Nehmen wir an es ist die Seite der Deutschen Bank (kA ob die Frames einsetzen *g* egal). Nun leitet die Seite nicht nur weiter, sondern öffnet mit Javascript ein Popup zeitversetzt und injiziert den Schadcode in die "sichere" Seite. Schon ist du verwundbar.

@The Knight: Den Fehler zu beheben war wohl eher eine Kleinigkeit da er ja schon einmal behoben war.

@The Knight: Es hies damals, dass es wenig Tester gibt, nicht Coder. glaube ich jedenfalls

@swissboy: Komisch, wenn im IE eine Lücke erst nach Monaten gestopft wird, dann kommt von dir immer der Spruch "na der hat ja so viele Codes, dass kann schon mal dauern"... :-)

@money_penny: Netter Versuch! :-)

@swissboy: Du mich also verstanden :-)

@money_penny: Wenn es wieder darum geht das FF 1.1 sich verzögt wird der Herr wieder schreiben 'Kein Wunder, die Zwischenversionen haben auch viel Zeit gekostet.' Nichts Neues mit swissboy... es wird so ausgelegt wie es am besten passt. Die Aussagen das es an Mitarbeitern mangelt waren wie sich gezeigt hat nichts als Panikmache. Wenn man wie ich die Entwicklung etwas intensiver mitmacht dann weiss man da es dort nirgens an Personal mangelt.

@money_penny: Ich finde es bringt nichts in einer Firefox-News über den IE anfangen zu diskutieren. Das endet höchstens in einem Browser-Krieg. Darum sollten wir dies hier lassen. Die Logik, das die Behebung diese Fehlers bei Firefox nicht allzu viel Zeit gekostet haben kann da er ja schon einmal behoben war, ist wohl nicht falsch. Es sei denn sie bringen deshalb extra eine neue Version 1.0.5 heraus, was ich aber nicht glaube.