Sicherheitslücke im Firefox Popup-Blocker entdeckt

Der Sicherheitsexperte Michal Zalewski hat eine Sicherheitslücke im Browser Firefox entdeckt, genauer gesagt im Popup-Blocker. Bisher wurde das Problem nur für die Version 1.5.0.9 bestätigt. Ein Angreifer könnte dadurch auf lokale Dateien zugreifen. mehr...

Diese Nachricht vollständig anzeigen.

Jetzt einen Kommentar schreiben

[o1] am ++--4

Wo sind denn die üblichen Empfehlungen auf eine Alternative zurück zu greifen ? Eine Alternative wäre hier üblicherweise Opera oder der IE, soviel dazu.

[re:1] am ++--1

@Fantastic: Brauchst ja nur FF 2.0.0.1 Verwenden oder keine Popup`s zulassen
dann brauchst auch keine Alternative.
wer mit alten Versionen unterwegs ist der solle sich über sowas nicht wundern

Bearbeitet am 07.02.07 um 10:35 Uhr.

[re:2] am ++--

@MartinWilli83: Es gibt sicher einige Fälle wo man per Hand angeklickte Popupfenster benötigt , das Vermindern der Browsingfunktionalität ist sicher keine erfolgreiche Lösung des Problems.

[re:3] am ++--

@MartinWilli83: nur dass der deutsch ff 2.0.0.1 auch noch fehler hat. man sollte noch den 2.0 verwenden

[re:4] am ++--

@Fantastic: Opera vermisse ich hier tatsächlich als Alternative. Der kleine Große hat noch zu wenige Benutzer.
Es scheint, als wäre auch Firefox 2.0 betroffen, aber das Update erscheint ebenfalls noch diesen Monat.
Nebenbei hat nur die Installationsmechanik der deutschen 2.0.0.1 einen Fehler, das automatische Update von 2.0 auf 2.0.0.1 ist problemlos möglich.

[re:5] am ++--

@sDaniel: also kann man doch ohne weiteres auf 2.0.0.1 updaten? wusste ich nicht. ich dachte, es wäre ein fehler im programm selber. danke für die info

[re:6] am ++--4

@Fantastic: du musst natürlich wieder den kindergartenton auflegen. dafür abermals ein dickes minux. das geht so lange, bis du anfängst dich wie ein erwachsener aufzuführen.

[re:7] am ++--

@ renegate98: Ja. Es ist wirklich nur die Installationsroutine betroffen, deshalb wurde diese wieder vom Server genommen.
Das Autoupdate ist aber problemlos möglich, wie ich bestätigen kann :)

[re:8] am ++--

2.0 verwenden und dann automatisches Update auf 2.0.0.1 reicht auch! :)

[re:9] am ++--

@speermaus: Einer wie du, sollte sehr vorsichtig mit solcher Kritik sein!!! Du veranstaltest hier den grössten Kindergarten mit deinen oft, zu oft sinnlosen Beiträgen!Kleine Erinnerung, deine Beiträger zu VISTA hätten nicht unsachlicher sein können. Immer zuerst vor der eigenen Türe wischen....

[re:10] am ++--

@Fantastic: Was willst du eigentlich? Der FF 1.5.0.9 ist Schnee vom vergangenen Jahr. Die Lücke war bekannt und wurde mit der V2 geschlossen. Welches Problem hast du damit? Das diese Version veraltet ist, wurde mehr als oft mitgeteilt.

[re:11] am ++--

Das Problem im FF 2.0.0.1 ist aber, dass dort noch über 100 Lücken bekannt sind, zum Teil auch sicherheitsrelevante. Wurde erst kürzlich hier in WinFuture auch veröffentlich. Ich finde den FF super, aber der IE7 ist faktisch zur Zeit viel sicherer.

[re:12] am ++--

@Ruderix2007: totaler unsinn

[o2] am ++--2

Solange das Problem nicht für Version 2.0 und neuer bestätigt ist, interessierts mich nicht wirklich. Selber schuld wer mit einer alten Version durchs Netz surft...

[re:1] am ++--

@HNM: deinen Dummen Kommentar hättest dir sparen können. Ich bin einer der noch mit der alten Version durchs netz surft, da die 2 version bei mir immer probleme macht.

[re:2] am ++--

@HNM: schonmal drüber nachgedacht, was in so manchen unternehmen los ist??? also wir haben nur den firefox 1.5.0.8 zur Verfügung. Es gibt genug interne Anwendungen die nicht für jede kleine Änderung angepasst werden können. Und, nein es handelt sich nicht um stinknormale HTML-Seiten.

[re:3] am ++--

@HNM: Hmm, bitte nicht hauen wenn ich mich irre aber wird der Versionszweig 1.5 nicht weiterhin gepflegt bzw. aktuell gehalten durch Sicherheitsupdates?! Bei Version 1.5.0.9 kann man demnach doch nicht von einer alten Version reden.

[re:4] am ++--

@HNM: Neue Versionen haben nunmal Kinderkrankheiten, das gilt für Firefox 1.5 und 2.0 genauso wie für jedes OS.
Für 1.5 wird mindestens noch 1.5.0.11 erscheinen und diese kleinen Updates stören in keiner Weise die Kompatibilität.
Die 2.0 basiert nebenbei ebenfalls auf der 1.5 Reihe, deshalb gibt es nur sehr wenige Kompatibilitätsprobleme (darauf wurde Wert gelegt). Meines Wissens stammen die meisten Probleme bei diesem Update aus dem Visual Refresh.

[o3] am ++--3

wieso sollte man ein geblocktes popup zulassen? die gefahr ist doch sehr gering. ausserdem sollte man sowieso eine aktuelle version des browsers nutzen.

[re:1] am ++--4

@spreemaus: Eine neue Version ist in produktiven Arbeitsumgebungen schnell mal inkompatibel , für diese deine Weitsicht kanns nur - geben.

[re:2] am ++--4

wie ich schon sagte. Kindergarten.

[re:3] am ++--1

Eben , aus dem Grund könnte man dich nie auf Kunden loslassen. Wenns Probleme gibt bist du 100pro verschwunden.

Bearbeitet am 07.02.07 um 14:21 Uhr.

[o4] am ++--

....sollte nicht zum 2.Februar ein neues und korrigiertes Update von FF 2.0 kommen? Habe ich so in Erinnerung.

[re:1] am ++--

@metusalemchen: Naja, Mozilla ist bei ihren Ankündigungen immer sehr optimistisch^^ Aber das Update (das auch diesen Fehler beheben wird) erscheint noch diesen Monat. Etwa zwei Wochen später will man dann auch endlich das Update von 1.5 auf 2.0 freigeben.

[o5] am ++--1

Ich sags mal so, dasd ist ein richtig fieser Bug, der aber kaum Schaden anrichten wird, weil A kaum jemand ein geblocktes Popup anzeigen lassen wird, es sei denn es ist auf der Seite seines Vertrauens(Bank...) B weil es Mozilla bestimmt wieder schnell beheben wird und es dank Autoupdate ruckzuck verteilt sein wird.

[re:1] am ++--

@[U]nixchecker: Nana, man muss so ein sicherheitskritisches Problem sicher nicht runterspielen.

[o6] am ++1 --2

*lol*

Wenn der IE7 sicher ist fress ich nen Besen!
Nee...bevorzuge doch eher den Firefox.

[o7] am ++--

Firefox 2.0.0.1 Bypass Phishing Protection FLAW:
http://kaneda.bohater.net/security/20070111-firefox_2.0.0.1_bypass_phishing_protection.php

[o8] am ++--1

ich lasse nie popups zu - von daher :-) hab auch keine interessanten sachen auf der festplatte :-D

allgemein muss man aber (leider) zumindest als webdesigner feststellen, dass der ie7 in seinem umfang an css-unterstützung IMMER NOCH UNZUREICHEND ausgestattet ist. viele css-bugs von 6.x wurden behoben - aber ne handvoll sind leider immer noch da :-/

bleibt abzuwarten, was das angekündigte ie7-update mit sich bringt:

ich hoffe auf einen weltweiten FF-anteil über 50% im jahre 20xx :-D
durch auswertung vieler relevanter (ungefälschter) statistiken über den zugreifenden "agent" auf x websites staunte ich nicht schlecht - fast 40% FF, ebenso IE...(wobei das eher "deutschland-relevant" ist...da es sich um deutschsprachige websites handelte :-)

diese "downloads" von IE7 sind eh makulatur wegen des zwangsupdates (sofern man als admin angemeldet ist und die updates auf auto stehn hat :-D)....

ich MUSS den ie6 noch benutzen, weil alle pcs,die kein winxp oder vista haben, kein ie7 benutzen können. DAS finde ich, ist die größte sauerei!!!!!
noch mind.1 jahr mit dem bugverseuchten 6er entwickeln.....*würg*

[o9] am ++--

Habt ihr auch das Problem, dass FF 2.0 deutsch unter Vista ständig auf die 2.0.0.1 updaten will, es diese Version aber auf deutsch nicht gibt?

[re:1] am ++--

@tiadimundo: Das ist doch normal, es gibt nur keinen Installer der deutschen 2.0.0.1, aber es gibt eine Version 2.0.0.1 und diese wird dann halt über das Autoupdate eingespielt.

[re:2] am ++--

@tiadimundo: Da spielt sich nichts ein. Wenn ich "Upadate" wähle startet Firefox neu aber bleibt in der Version 2.0 bis zur nächsten Meldung.

[10] am ++--

Also wenn ich in Bugzilla schaue, dann scheint der Fehler im Trunk (also für Firefox 3.0) bereits behoben zu sein. (Link: http://tinyurl.com/2ac2kq)
Mal schauen, wanns für den Firefox 2er Zweig und 1.5er Zweig eingecheckt wird.