Druckversion des Themas
Rokop Security _ News _ Mozilla-/Firefox-Sicherheitslücke
Geschrieben von: Bo Derek 04.04.2005, 20:18
Wie die Firma http://secunia.com berichtet, führt ein Fehler in der JavaScript-Implementierung von Firefox bzw. Mozilla dazu, dass Angreifer Teile des Speichers auslesen können. Auf der Seite von Secunia kann per http://secunia.com/mozilla_products_arbitrary_memory_exposure_test/ getestet werden, ob das eigene System anfällig ist. Secunia empfiehlt, JavaScript zu deaktivieren.
Geschrieben von: Yopie 04.04.2005, 20:20
Übel.
Geschrieben von: bond7 04.04.2005, 20:43
autsch, es werden bei jedem klick neue informationen aus dem speicher dargestellt, darunter auch alle browserfavoriten
das sicherheitsleck würde ich als schwer einstufen , weil man damit damit garkeine externe spyware , keylogger ect. braucht um gezielt an informationen zu kommen.
Geschrieben von: Lucky 04.04.2005, 20:52
Aber es lässt sich keine gezielte Information rausfinden. Du musst da schon glück haben. Bei der letzten IE Lücke kann man ja Remote Programme ausführen auch nicht schön...
Klar die Lücke sollte schnellstens geschlossen werden, aber die Lücke im IE empfinde ich dennoch noch als schlimmer.
- björn
Geschrieben von: diddsen 04.04.2005, 20:52
oh mann, das ist doch echt zum ko.....
ständig ist irgendwas im argen....man weiss echt nicht mehr was man nehmen soll
Geschrieben von: bond7 04.04.2005, 21:00
@Lucky
QUOTE
Aber es lässt sich keine gezielte Information rausfinden
geht das schon wieder los mit den üblichen verharmlosungsversuchen ?
ich glaube du solltest mit dem mozilla/ff mehrmals auf den demolink klicken , damit du siehst welcher link oder information aus dem speicher eventuell nicht gerade an die öffentlichkeit oder in fremde hände gelangen sollte , ganz davon zu schweigen wie man diese informationen praktisch verwerten könnte.
hier wird das ganze noch deutlicher ob die ausgaben informationslos ? sind.
http://www.heise.de/newsticker/meldung/58228
QUOTE
Ein Fehler in der JavaScript-Implementierung der Websuite Mozilla und des Standalone-Webbrowsers Firefox offenbart Angreifern Teilinhalte des Hauptspeichers. Unter Umständen sind darin vertrauliche Daten aus vorhergegangenen oder noch aktiven Browser-Sessions enthalten.
Geschrieben von: diddsen 04.04.2005, 21:02
QUOTE(bond7 @ 04.04.2005, 21:59)
@Lucky
geht das schon wieder los mit den üblichen verharmlosungsversuchen ?
ich glaube du solltest mit dem mozilla/ff mehrmals auf den demolink klicken , damit du siehst welcher link oder information aus dem speicher eventuell nicht gerade an die öffentlichkeit oder in fremde hände gelangen sollte , ganz davon zu schweigen wie man diese informationen praktisch verwerten könnte.
[right][snapback]87317[/snapback][/right]
wie ist das nun..... bei mir zeigt es da nur XXXXXXXXXXXXXXXX..... an.
Ist das nun schlecht oder gut und warum gibt es da unterschiede ? sollte doch bei jedem der ff nimmt gleich "schlecht" sein, also die lücker vorhanden sein?!
Geschrieben von: bond7 04.04.2005, 21:03
das xxxxxx kommt nur im IE ! du hast den falschen browser drann...
Geschrieben von: Frank_Henrich 04.04.2005, 21:09
nee, kommt bei der Version 1.03 auch ....
gruss Frank
Geschrieben von: the_dark_side 04.04.2005, 21:14
QUOTE
geht das schon wieder los mit den üblichen verharmlosungsversuchen ?
das ist eine tatsache..., vielleicht erst mal informieren?? du kannst mit dieser schwachstelle keinen bestimmten speicherbereich einsehen...das ist nur zufällig was man bekommt, das hat nix mit verharmlosung zu tun... für angreifer nicht wirklich relevant!
im IE sind schon wieder feher aufgedreten die mit sicherheit schwerer sind. aber da sagst du nix, oder...da sind das ja nur POC's..
deine logik^^..verstehe wer will..ich tue es nicht. auserdem gibts ne simple lösung: javascript aus!!
Geschrieben von: Jens1962 04.04.2005, 21:18
QUOTE(the_dark_side @ 04.04.2005, 22:13)
auserdem gibts ne simple lösung: javascript aus!!
[right][snapback]87322[/snapback][/right]
Wenn @Frank_Henrich Recht hat, dann gibt es auch die Lösung 1.0.3
Kann das noch jemand bestätigen? Bei mir läuft noch 1.0.2
Jens
Geschrieben von: Lucky 04.04.2005, 21:19
Der Bug ist nämlich schon in Version 1.0.3 geschlossen worden. Geht recht fix... :P
Ich habe mal einen Thread im Mozillazine Forum geöffnet:
http://forums.mozillazine.org/viewtopic.php?t=245852
- björn
Geschrieben von: the_dark_side 04.04.2005, 21:21
was man vom IE nicht behaupten kann....
aber da wird Bond7 uns ja gleich die passende erklärung für liefern
Geschrieben von: Lucky 04.04.2005, 21:21
QUOTE(bond7 @ 04.04.2005, 21:59)
geht das schon wieder los mit den üblichen verharmlosungsversuchen ?
ich glaube du solltest mit dem mozilla/ff mehrmals auf den demolink klicken , damit du siehst welcher link oder information aus dem speicher eventuell nicht gerade an die öffentlichkeit oder in fremde hände gelangen sollte , ganz davon zu schweigen wie man diese informationen praktisch verwerten könnte.
[right][snapback]87317[/snapback][/right]
Bei mir kam nur komischer Datenmüll raus, ich weiß ja nicht wie du da wichtige Daten rauslesen magst...
Wer verhamlost denn Lücken? IE User mit Maxthon oder FF User die schnellsten ne Lösung a la neuste Version haben?
- björn
Geschrieben von: diddsen 04.04.2005, 21:22
QUOTE(bond7 @ 04.04.2005, 22:02)
das xxxxxx kommt nur im IE !
du hast den falschen browser drann...
[right][snapback]87319[/snapback][/right]
ne ne mein jung
ich bin vielleicht nicht ganz so fit wie manch einer hier, aber blind bin ich noch nicht
is schon der ff , die 1.0.3 halt .... vielleicht da schon gefixt
Geschrieben von: Lucky 04.04.2005, 21:25
Also mit 1.0.3 kommen bei mir nur noch Leerzeichen.
- björn
Geschrieben von: bond7 04.04.2005, 21:50
@Lucky
QUOTE
Wer verhamlost denn Lücken?
gute frage, nicht jeder user zieht sich jede woche eine neue betaversion des webbrowsers.
im anderen thread habt ihr euch darüber muckiert das ich von meinem standpunkt ausgehe , nur ihr macht ja hier genau dasselbe...
da fragt sich dann wer der troll ist, der mit den eigenen standpunkten oder der wegen den standpunkten des anderen seine fassung verliert ?
Geschrieben von: Lucky 04.04.2005, 21:53
Na aber die Frage ist. Was ist sicherer. Ein Browser auf dem die Lücken komplett geschlossen werden weil die Programmierer auf den Quellcode zugreifen können oder ein Browser bei dem man sich durch einen Aufsatz (eventuell) in Sicherheit wiegt, aber nie genau weiß ob die Lücke nun komplett dicht ist? Weil nachprüfen ob die nun geschlossen ist kann man in meinen Augen beim IE + Maxthon nicht. Klar die Tests durchführen kann man, aber ich sehe darin keinen 100%tigen Schutz.
- björn
Geschrieben von: rock 04.04.2005, 21:55
QUOTE(bond7 @ 04.04.2005, 22:49)
gute frage, nicht jeder user zieht sich jede woche eine neue betaversion des webbrowsers.
[right][snapback]87342[/snapback][/right]
gestatten:
Geschrieben von: bond7 04.04.2005, 21:59
@Lucky
QUOTE
Na aber die Frage ist. Was ist sicherer
und genau das hatte ich kürzlich schonmal klar formuliert. ich bin jemand der mögliche risiken kennt und damit umgehen kann, mich schreckt irgendwelches dünnflüssige geflame von IE-MS-gegnern (beziehe das jetzt bitte nicht auf dich, das ist nur eine allgemeinformulierung ) kein bischen ab, da ich mich selbst informieren kann und mit etwaiigen fehlern umzugehen weiss.
Geschrieben von: Lucky 04.04.2005, 22:04
Gut, deine Sicht. Für die vielen Daus die da draussen sind und aber denken der Maxthon schliesst alles, die haben dann trotzdem ein grosses Problem, in meinen Augen.
- björn
Geschrieben von: Kool_Savas 04.04.2005, 22:08
Hier habe geschrieben, das selbst wenn man nicht die 1.0.3 installiert sicher ist.
http://www.rokop-security.de/index.php?showtopic=7865&view=findpost&p=87329
Geschrieben von: Bo Derek 04.04.2005, 22:08
Nun, ich muss da bond7 schon recht geben.
Erstens ist das Geflame gegen MS-Produkte unerträglich und zweitens gibt es für die breite Masse von Usern bestimmte Möglichkeiten, aktuell zu bleiben:
a) Das Update über Produktseiten und
b) das Update über die im Produkt integrierte Updatefunktion.
Nun kann man ja schon glücklich sein, wenn User überhaupt updaten, aber weder die Ressourcen über a) noch b) ermöglichen zur Zeit das Update von Firefox > Version 1.0.2.
Bei MS würde dieser Umstand trotz separat erhältlicher "Vorversionen" zu Foren- und Newsgroupgetrolle der üblichen Art führen. Bei Firefox, isser nicht knuffig der feurige Bär, ist das total okay.
Halten wir fest: es ist nicht zu erwarten, dass die Mehrheit der User Versionen außer der Möglichkeiten a) und b) einspielt. Insofern ist die aktuelle Version von Firefox nicht sicher hinsichtlich der in diesem Artikel behandelten Sicherheitslücke.
Und weil's so Spass macht, drehen wir uns im Kreis:
QUOTE
Secunia empfiehlt, JavaScript zu deaktivieren.
Das ist der Stand der Dinge, bis Updates über Weg a) oder b) veröffentlicht werden.
Geschrieben von: bond7 04.04.2005, 22:12
@Lucky
hat ja auch keiner behauptet das maxthon eine wunderwaffe wäre, trotz das die entwickler des browsers schon einige dinge (damals populäre und aktuelle IE-securitybugs) möglich gemacht hatten was man in die sicherheitsstruktur des aufsatzes integrieren kann .
im maxthon-forum geht das aussergewöhnlich gesittet zu und viele hilfeersuchen und programmfixes werden ernsthaft untersucht um eine schnellstmögliche lösung zu finden.
Unterstützt von Invision Power Board (http://www.invisionboard.com)
© Invision Power Services (http://www.invisionpower.com)