Druckversion des Themas

Geschrieben von: Bo Derek 04.04.2005, 20:18

Wie die Firma http://secunia.com berichtet, führt ein Fehler in der JavaScript-Implementierung von Firefox bzw. Mozilla dazu, dass Angreifer Teile des Speichers auslesen können. Auf der Seite von Secunia kann per http://secunia.com/mozilla_products_arbitrary_memory_exposure_test/ getestet werden, ob das eigene System anfällig ist. Secunia empfiehlt, JavaScript zu deaktivieren.

Geschrieben von: Yopie 04.04.2005, 20:20

Übel.

Geschrieben von: bond7 04.04.2005, 20:43

autsch, es werden bei jedem klick neue informationen aus dem speicher dargestellt, darunter auch alle browserfavoriten
das sicherheitsleck würde ich als schwer einstufen , weil man damit damit garkeine externe spyware , keylogger ect. braucht um gezielt an informationen zu kommen.

Geschrieben von: Lucky 04.04.2005, 20:52

Aber es lässt sich keine gezielte Information rausfinden. Du musst da schon glück haben. Bei der letzten IE Lücke kann man ja Remote Programme ausführen auch nicht schön...

Klar die Lücke sollte schnellstens geschlossen werden, aber die Lücke im IE empfinde ich dennoch noch als schlimmer.

- björn

Geschrieben von: diddsen 04.04.2005, 20:52

oh mann, das ist doch echt zum ko.....
ständig ist irgendwas im argen....man weiss echt nicht mehr was man nehmen soll

Geschrieben von: bond7 04.04.2005, 21:00

@Lucky

geht das schon wieder los mit den üblichen verharmlosungsversuchen ?
ich glaube du solltest mit dem mozilla/ff mehrmals auf den demolink klicken , damit du siehst welcher link oder information aus dem speicher eventuell nicht gerade an die öffentlichkeit oder in fremde hände gelangen sollte , ganz davon zu schweigen wie man diese informationen praktisch verwerten könnte.

hier wird das ganze noch deutlicher ob die ausgaben informationslos ? sind.
http://www.heise.de/newsticker/meldung/58228

Geschrieben von: diddsen 04.04.2005, 21:02

wie ist das nun..... bei mir zeigt es da nur XXXXXXXXXXXXXXXX..... an.
Ist das nun schlecht oder gut und warum gibt es da unterschiede ? sollte doch bei jedem der ff nimmt gleich "schlecht" sein, also die lücker vorhanden sein?!

Geschrieben von: bond7 04.04.2005, 21:03

das xxxxxx kommt nur im IE ! du hast den falschen browser drann...

Geschrieben von: Frank_Henrich 04.04.2005, 21:09

nee, kommt bei der Version 1.03 auch ....

gruss Frank

Geschrieben von: the_dark_side 04.04.2005, 21:14

das ist eine tatsache..., vielleicht erst mal informieren?? du kannst mit dieser schwachstelle keinen bestimmten speicherbereich einsehen...das ist nur zufällig was man bekommt, das hat nix mit verharmlosung zu tun... für angreifer nicht wirklich relevant!

im IE sind schon wieder feher aufgedreten die mit sicherheit schwerer sind. aber da sagst du nix, oder...da sind das ja nur POC's..
deine logik^^..verstehe wer will..ich tue es nicht. auserdem gibts ne simple lösung: javascript aus!!

Geschrieben von: Jens1962 04.04.2005, 21:18

Wenn @Frank_Henrich Recht hat, dann gibt es auch die Lösung 1.0.3
Kann das noch jemand bestätigen? Bei mir läuft noch 1.0.2

Jens

Geschrieben von: Lucky 04.04.2005, 21:19

Der Bug ist nämlich schon in Version 1.0.3 geschlossen worden. Geht recht fix... :P

Ich habe mal einen Thread im Mozillazine Forum geöffnet:
http://forums.mozillazine.org/viewtopic.php?t=245852

- björn

Geschrieben von: the_dark_side 04.04.2005, 21:21

was man vom IE nicht behaupten kann....
aber da wird Bond7 uns ja gleich die passende erklärung für liefern

Geschrieben von: Lucky 04.04.2005, 21:21

Bei mir kam nur komischer Datenmüll raus, ich weiß ja nicht wie du da wichtige Daten rauslesen magst...

Wer verhamlost denn Lücken? IE User mit Maxthon oder FF User die schnellsten ne Lösung a la neuste Version haben?

- björn

Geschrieben von: diddsen 04.04.2005, 21:22

ne ne mein jung ich bin vielleicht nicht ganz so fit wie manch einer hier, aber blind bin ich noch nicht
is schon der ff , die 1.0.3 halt .... vielleicht da schon gefixt

Geschrieben von: Lucky 04.04.2005, 21:25

Also mit 1.0.3 kommen bei mir nur noch Leerzeichen.

- björn

Geschrieben von: bond7 04.04.2005, 21:50

@Lucky

gute frage, nicht jeder user zieht sich jede woche eine neue betaversion des webbrowsers.
im anderen thread habt ihr euch darüber muckiert das ich von meinem standpunkt ausgehe , nur ihr macht ja hier genau dasselbe...
da fragt sich dann wer der troll ist, der mit den eigenen standpunkten oder der wegen den standpunkten des anderen seine fassung verliert ?

Geschrieben von: Lucky 04.04.2005, 21:53

Na aber die Frage ist. Was ist sicherer. Ein Browser auf dem die Lücken komplett geschlossen werden weil die Programmierer auf den Quellcode zugreifen können oder ein Browser bei dem man sich durch einen Aufsatz (eventuell) in Sicherheit wiegt, aber nie genau weiß ob die Lücke nun komplett dicht ist? Weil nachprüfen ob die nun geschlossen ist kann man in meinen Augen beim IE + Maxthon nicht. Klar die Tests durchführen kann man, aber ich sehe darin keinen 100%tigen Schutz.

- björn

Geschrieben von: rock 04.04.2005, 21:55

gestatten:

Geschrieben von: bond7 04.04.2005, 21:59

@Lucky

und genau das hatte ich kürzlich schonmal klar formuliert. ich bin jemand der mögliche risiken kennt und damit umgehen kann, mich schreckt irgendwelches dünnflüssige geflame von IE-MS-gegnern (beziehe das jetzt bitte nicht auf dich, das ist nur eine allgemeinformulierung ) kein bischen ab, da ich mich selbst informieren kann und mit etwaiigen fehlern umzugehen weiss.

Geschrieben von: Lucky 04.04.2005, 22:04

Gut, deine Sicht. Für die vielen Daus die da draussen sind und aber denken der Maxthon schliesst alles, die haben dann trotzdem ein grosses Problem, in meinen Augen.

- björn

Geschrieben von: Kool_Savas 04.04.2005, 22:08

Hier habe geschrieben, das selbst wenn man nicht die 1.0.3 installiert sicher ist.

http://www.rokop-security.de/index.php?showtopic=7865&view=findpost&p=87329

Geschrieben von: Bo Derek 04.04.2005, 22:08

Nun, ich muss da bond7 schon recht geben.

Erstens ist das Geflame gegen MS-Produkte unerträglich und zweitens gibt es für die breite Masse von Usern bestimmte Möglichkeiten, aktuell zu bleiben:

a) Das Update über Produktseiten und
b) das Update über die im Produkt integrierte Updatefunktion.

Nun kann man ja schon glücklich sein, wenn User überhaupt updaten, aber weder die Ressourcen über a) noch b) ermöglichen zur Zeit das Update von Firefox > Version 1.0.2.

Bei MS würde dieser Umstand trotz separat erhältlicher "Vorversionen" zu Foren- und Newsgroupgetrolle der üblichen Art führen. Bei Firefox, isser nicht knuffig der feurige Bär, ist das total okay.

Halten wir fest: es ist nicht zu erwarten, dass die Mehrheit der User Versionen außer der Möglichkeiten a) und b) einspielt. Insofern ist die aktuelle Version von Firefox nicht sicher hinsichtlich der in diesem Artikel behandelten Sicherheitslücke.

Und weil's so Spass macht, drehen wir uns im Kreis:

Das ist der Stand der Dinge, bis Updates über Weg a) oder b) veröffentlicht werden.

Geschrieben von: bond7 04.04.2005, 22:12

@Lucky
hat ja auch keiner behauptet das maxthon eine wunderwaffe wäre, trotz das die entwickler des browsers schon einige dinge (damals populäre und aktuelle IE-securitybugs) möglich gemacht hatten was man in die sicherheitsstruktur des aufsatzes integrieren kann .
im maxthon-forum geht das aussergewöhnlich gesittet zu und viele hilfeersuchen und programmfixes werden ernsthaft untersucht um eine schnellstmögliche lösung zu finden.