Firefox reißt ein Loch, der IE springt hinein, PC Welt meldet Einstellungen

[Gast_Kurt W_*]

Nun arbeiten sie endlich Hand in Hand.

Wenn der eine eine Sicherheitslücke schafft nutzt der andere das aus.

http://www.pcwelt.de/start/sicherheit/sich...ken/news/87361/

Sind sowohl Internet Explorer als auch Firefox installiert, könnte der Rechner anfällig für einen Angriff sein. Die Fachwelt streitet noch darüber, wer für diese Sicherheitslücke verantwortlich ist.

Firefox registriert bei seiner Installation spezielle Protokolle wie "firefoxurl://". Wird ein solcher Aufruf in einem Browser eingegeben, übergibt dieser den Aufruf daher an Firefox. Wird der Aufruf in Firefox selbst eingegeben, warnt Firefox den Benutzer. Wie Thor Larholm demonstriert, führt ein Aufruf im Internet Explorer dazu, dass Firefox keine Warnung ausgibt. Das lässt sich zumindest theoretisch ausnutzen, um einen Rechner anzugreifen, auf dem beide Browser installiert sind.

Gruß Kurt

[hypnosekroete]

Aber nur, wenn man den IE auch benutzt...

[Rios]

Hier auch zu Opera, der scheint ja bekanntlich auch seine Schwächen zu haben. Heise

[hypnosekroete]

Die FF-Lücke funktioniert nur mit aktiviertem JavaScript...
Kann man denkende Internetnutzer damit noch hinterm Ofen vorlocken?

Und die IE-Lücke fuktioniert (zumindest hier: Vista, IE7, default-Sicherheitseinstellungen) auch nicht wirklich.
Wenn ich versuche, die Seite zu verlassen, öffnet ein neues Fenster (sollte laut meinen Einstellungen eigentlich ein Tab sein) und bringt mich genau da hin, wo ich hin will...

[Sasser]

Wer so vorsichtig ist einen Externen Browser wie Opera oder Firefox zu nutzen, der hat so meine, hoffe ich, zusätzlich
immer die Einstellung Cache leeren bei beenden, sowie Cookies löschen nach beenden und Drittanbieter verbieten eingestellt.
Auch Sitzungscookies lediglich zulassen falls es denn doch der IE ist.
Aber das sind natürlich nur Hoffnungen.

[Gast_Kurt W_*]

Und schon ist ein Sicherheitsupdate verfügbar 2.0.0.5!!
Funktioniert auch schon über die integrierte Update Funktion.

http://www.firefox-browser.de/windows.php

Hier die Änderungen:

MFSA 2007-25 XPCNativeWrapper pollution
MFSA 2007-24 Unauthorized access to wyciwyg:// documents
MFSA 2007-23 Remote code execution by launching Firefox from Internet Explorer
MFSA 2007-22 File type confusion due to in name
MFSA 2007-21 Privilege escallation using an event handler attached to an element not in the document
MFSA 2007-20 Frame spoofing while window is loading
MFSA 2007-19 XSS using addEventListener and setTimeout
MFSA 2007-18 Crashes with evidence of memory corruption

Gruß Kurt

Der Beitrag wurde von Kurt W bearbeitet: 18.07.2007, 13:04

[kiebitz]

...und <<hier>> auf Deutsch

[kiebitz]

>>Neue Erkenntnisse zur "Firefox-Lücke"<< hab´s grad entsprechend geändert

mal schauen wann´s 2.0.0.6 gibt

Der Beitrag wurde von kiebitz bearbeitet: 27.07.2007, 17:01

[Voyager]

Der Brauser kann froh sein das seine Bedeutung für virengeilen Schabernack einfach zu gering ist

[Gast_Kurt W_*]

Auf der http://www.heise.de/security/news/meldung/93455 wird ein Test angeboten:

mailto:test%../../../../windows/system32/calc.exe".cmd

der den Taschenrechner öffnen soll. Funktioniert auch mir der 2.0.0.5

Habe mir gerade die Nightly 2.0.0.6 installiert, da ist der Bug behoben, nichts mit öffnen des Rechners mehr.

http://ftp.mozilla.org/pub/mozilla.org/fir...ox2.0.0.6-l10n/

Gruß Kurt

Der Beitrag wurde von Kurt W bearbeitet: 27.07.2007, 19:53

[kiebitz]

Auf der http://www.heise.de/security/news/meldung/93455 wird ein Test angeboten der den Taschenrechner öffnen soll. Funktioniert auch mir der 2.0.0.5

wenn "about:config" entsprechend dem Heise Link eingestellt wird, erscheint folgendes:
[attachment=2855:Zwischenablage01.jpg]

[Lucky]

Ich habe den Test nachvollziehen können. Praktisch der Taschenrechner. Aber da damit nicht nur Taschenrechner kommen werden, habe ich mal lieber die Warnungen angeschaltet.

Lucky

[Gast_Kurt W_*]

Ich habe den Test nachvollziehen können. Praktisch der Taschenrechner. Aber da damit nicht nur Taschenrechner kommen werden, habe ich mal lieber die Warnungen angeschaltet.

Lucky

Wie gesagt, bei der 2.0.0.6 ist der Bug nicht mehr vorhanden.

Ich denke auch, das die nightly schon so ziemlich der Finalen entspricht.

Gruß Kurt

[Lucky]

Wie gesagt, bei der 2.0.0.6 ist der Bug nicht mehr vorhanden.

Ich denke auch, das die nightly schon so ziemlich der Finalen entspricht.

Gruß Kurt

Mal sehen. Heute abend vielleicht.

Lucky

[Sasser]

Habe den Fuchs nun verbannt. Mit Opera gehts auch flott durch die Welt.

[Gast_Kurt W_*]

Habe den Fuchs nun verbannt. Mit Opera gehts auch flott durch die Welt.

Na ja, ob Opera das Allerheilmitttel ist sei mal dahin gestellt.

Ich bin mit dem Browser überhaupt nicht zurecht gekommen.

Da nehme ich lieber noch den IE 7.0

Gruß Kurt

[kiebitz]

Auch Skype von angeblicher "Firefox-Lücke" betroffen

Release Candidate für Version 2.0.0.6 nahezu fertig

Der Beitrag wurde von kiebitz bearbeitet: 30.07.2007, 13:09

[Sasser]

Hab mal so gegoogelt nach schnellen und kompfortablen Browsern, habe sogar den Netscape probiert, welch pleite,
jemand einen Tipp, der wirklich zu gebrauchende Browser neben Opera ? Ich probier ja so gerne....
Kommt mir nicht mit dem IE.7 ich sprach von sicher, also am besten ein Teil das relativ unbekannt ist.

[Gast_Kurt W_*]

Hab mal so gegoogelt nach schnellen und kompfortablen Browsern, habe sogar den Netscape probiert, welch pleite,
jemand einen Tipp, der wirklich zu gebrauchende Browser neben Opera ? Ich probier ja so gerne....
Kommt mir nicht mit dem IE.7 ich sprach von sicher, also am besten ein Teil das relativ unbekannt ist.

Na wie wär es damit:
http://www.flock.com/

Unbekannt ist er ja.

Gruß Kurt

[StormRider]

jemand einen Tipp, der wirklich zu gebrauchende Browser neben Opera ? Ich probier ja so gerne....

Dann teste Dich mal hier durch:

http://browsers.evolt.org/
http://www.browser-update.info/browser/index.php

Früher hatte ich den K-Meleon lange im Einsatz und davor einen anderen, dessen Namen mir entfallen ist und den es afaik sowieso nicht mehr gibt.

Wenn die Lücken jedoch im BS zu finden sind, nützen auch sichere Browser nicht mehr allzuviel - hier wären jetzt evtl. Tests der div. Betrübsysteme angesagt.

mfg
StormRider