Wie http://www.heise.de/security am heutigen Montag http://www.heise.de/security/news/meldung/58649, sind für die kürzlich entdeckten Sicherheitslücken in Firefox und Mozilla Exploits verfügbar. Zu diesen Sicherheitslücken gehört auch ein Fehler in der JavaScript-Implementierung von Firefox bzw. Mozilla - wir http://www.rokop-security.de/index.php?showtopic=7877.
Aus diesem Grunde sollten Nutzer veralteter Programmversionen von Mozilla und Firefox schnellstmöglichst auf die aktuelle Versionen upgraden, in denen die Fehler bereits behoben wurden. Das Update auf Firefox 1.0.3 ist in unserem http://www.rokop-security.de/index.php?act=downloads zu beziehen, Mozilla 1.7.7 findet sich auf http://mozilla.kairo.at/?d=x&i=release&m=d.
interesannte exploids , beim klick darauf werden sachen und dinge gestartet und dateien auf hdd geschrieben (laut beschreibung) .
wo sinds denn die ganzen jungs die immernoch behaupten das sowas mit ihrem lieblingsbrowser "nie" möglich wäre !?
normalerweise müssten sie jetzt alles bestreiten und den topicstarter beschimpfen...
wer weiss wer weiss, warum sich das noch nicht lohnt die nutzer dieses webbrowsers mit automatisch installierten müll zu überschütten.
machbar ist es ja !!! und genau das wurde sehr wohl oft bestritten , wenn mal wieder das grosse verbale hallali auf den IE geblasen wurde...
redet euch net raus....
Könnt Ihr das bitte lassen ?
Wenn überhaupt dann macht das sachlich.
Domino
Don't feed the Trolls!!!
@Kool_Savas
lies mal bitte den beitrag dazu http://www.heise.de/newsticker/meldung/58679 .
da steht nichts von xpi ect...
Ach das meinst du. Das hat sich doch schon längst mit der 1.0.3 erledigt.
Das war nur ein Bespiele mit Xpi und Jar.
Die Lücke war übel, keine Frage. Aber:
16.04.: Firefox- und Mozilla-Updates schließen Sicherheitslücken
18.04.: Exploit für Lücke in Firefox und Mozilla führt beliebige Programme aus
Die Sicherheitslücke war also geschlossen, bevor der poc-exploit existierte. Ist das bei IE-Lücken auch so?
Unter Mozilla 1.7.6 Windows hat der Exploit bei mir darüberhinau übrigens nicht funktioniert., FF hab ich nicht installiert.
Unter Gentoo wurde Mozilla darüberhinaus quasi-automatisch upgedatet.
Und ich kenne bislang noch keinen, der sich aufgrund der Benutzung einer älteren Moz-Version Malware eingefangen hat. Beim IE sieht das ander aus.
es gibt ja schon wieder nee http://www.artfiles.org/mozilla.org/firefox/nightly/latest-aviary1.0.1-l10n/firefox-1.0.4.en-GB.win32.installer.exe , aber nu schnell loaden !
@Yopie
darum gehts hier eigentlich garnicht wer wann was gemacht hatte , es geht darum das es überhaupt möglich ist/war den nutzer dieses webbrowsers etwas versteckt unterzujubeln, auch zukünftig können sich wieder programmfehler einschleichen wo genau dies möglich wird.
ich warte ja nur auf den tag wo es mal einer hier zugibt ...mehr nicht
aber bei der arroganz werd ich den den tag wo nicht erleben ...
super.... und wieder um den heissen brei geredet...
@Yopie
frag mich nicht, warum die vorhandenen sicherheitsrelevanten lücken nicht auf die eine oder andere art praktisch (massiv) ausgenutzt werden (bis auf die sexuellen XPI anhänge oder so) ....ich weiss es nicht und könnte maximal nur spekulieren.
warum wechseln denn überhaupt manche leute ? weil sie mit der vorhandenen (wenn auch eingeschränkten) sicherheitsstruktur des integrierten webbrowsers nicht zurecht kommen oder weil es cool ist ein auf schlau zu machen ? ich würde sagen beides...
alle die nicht den IE benutzen wollen kommen also damit net zurecht und wollen schlau sein indem sie den FF benutzen..meine güte
Leute, bleibt bitte sachlich!
Rudi Carrera
@Yopie
wenn eine webseite versucht xpi-erweiterungen zu installen kommt immer eine meldung, mit der frage ob der user das auch möchte. und nciht wie beim IE wo es aufgrund von sicherheitslücken möglich war sachen einfach ohne nachfrage zu installen.. somit ist die gefahr der massive bedrohung durch xpi-spyware ausgeschlossen....
@bond wieviel geld bekommt man für diese sture, massive pro-m$ tour?
Mod. Gorgo: Es reicht jetzt! Hört auf zu flamen und wenn euch an jemand anderes Meinung etwas nicht passt, dann regelt das per PN! Wir werden hier keine persönlichen Angriffe dulden!!!
@yopie
@Lucky
das ist eine auslegungssache mit den nightlys, es sind aber browserbetas.
ich kann mich noch sehr gut daran erinnern wie das thema "nutzung einer beta" vor dem XP servicepack 2 final-release ausgeschlachtet wurde um damit zu flamen...
ich persönlich hab ja garnichts gegen betas, ich hasse nur manch dumpfe diskussion darüber wenn es um betas von bill gates geht....
Was hat die Benutzung von Betas nun eigentlich hier zu suchen?
Hier hat noch nie jemand dazu gerate nen Beta Firefox auf nem Produktivsystem zu benutzen, genauso wie beim Beta XP SP2.
Und wenn ich ehrlich bin ich habe früher vor der Beta XP SP2 auch gewarnt, weil sie a) als Allheilmittel gepriesen wurde obwohl sie noch ne beta war und weil sie sich nun mal sehr deutlich ins System gräbt(verständlich ist ja dafür gedacht) nur daus werden vorher keine Backups gemacht haben, sprich bei einem Fehler wäre eine Restauration des Systems schwieriger gewesen als bei einer Firefox Beta. Dort brauchst du nur 2 Ordner löschen und einmal den Firefox neu drauf kopieren.
Ist Fakt. Ich benutze zwar regelmässig ein neues Nightly Built, aber nur weil ich wissen will was neues drin ist. Wenn was kaputt ist, weiß ich einfach wie ich des entfernen kann.
- björn
@bond7
Ne, das ist keine Auslegungssache.
Jede Firma kompiliert ihren Code andauernd im Laufe des Tages um die Entwicklung zu testen. Mal nennt sich das nighlty, mal daily, mal dingsda...
Die Mozilla-Foundation lädt diese gleichzeitig auf den Server hoch - mehr nicht. Andere Firmen haben einen öffentliche Zugang zu den CVS/SVN-Servern, von welchen sich der bedarfte User die Version selbst kompilieren kann. Andere behalten diese "Versionen" ganz intern.
@Lucky
naja das waren eher nur unterstellungen, das sich die ratschläge wegen der nutzung der genannten beta um produktivsysteme gehandelt hatte , auch wenn man das mit der microsoft-eigenen warnung noch untermauern wollte...
getestet und genutzt haben es dann doch viele...
Ich lach mich schlapp, das hat ja fast schon Heise-Troll-Niveau!
Is eher langweilig...jedesmal der gleiche Quark...
Schon, nur reagiert bond7 aus einer mir verständlichen Aggression gegenüber den jahrelangen Angriffen gegen alles, auf dem "Microsoft" steht. Nun geht es Firefox mit dem steigenden Marktanteil ähnlich, allerdings muss ich den Verteidigern recht geben, denn dass die Sicherheitslücken geschlossen sind, bevor der Exploit verfügbar ist, konnte man leider vom IE in der Vergangenheit nicht behaupten.
Bleibt nur zu hoffen, dass Konkurrenz das geschäft belebt. Bezüglich der nächsten IE-Version scheint das ja bereits zuzutreffen.
ein häuslichen daddel und gamerechner als produktivsystem zu bezeichnen ist aber schon hart... das hier weiter zu führen lenkt aber zu stark vom eigentlichen thema aus postings nr. 2 weit ab.
wie bo schon richtig sagt , auf der einen seite wird nur die verbale hatz betrieben (nicht nur gegen das produkt sondern auch gegen die nutzer) und dann noch behauptungen aufgestellt das sowas in alternativen nie passieren könnte (mit betonung auf könnte) .
wie schnell sowas doch die realität einholt....wer schon argumentieren will sollte die verlogenheit weglassen , als ob das zuviel verlangt wäre .
Und noch einmal. Es hat nie jemand von den Alternative Verteidigern gesagt das es nicht so kommen kann.
Sondern nur das es dann schneller behoben wird. Siehe jetztige Lücken.
- björn
ich seh schon, das führt zu nichts.... jeder klebt an seinen standpunkten fest , welche auch immer das sein mögen .
Mal was anderes.
Zwar steht auf dieser Seite hier: http://mozilla.kairo.at/?d=x&i=release&m=d#Installer
es gäbe die Deutsche 1.7.7 Installer auf dieser Seite hier: http://germaninstaller.sourceforge.net/ da hört es aber bei 1.7.6 auf?
Kommt die noch?
Clinton
Erstmal Grüße euch allen
Finde es wirklich schrecklich das hier soviele Dinge behaupten ohne irgendwelche Fakten zu liefern!!
Erstes der Exploit existierte schon lange (seit 11.04) u. es gibt jede menge andere. Nur weil ein paar von euch die nicht kennen, heißt dass nicht das es keine weiteren Lücken gibt.
Poste mal den Exploit, vorüber soviel geredet wurde:
EDIT: Exploit entfernt, da das Posten von schädlichen Inhalten zu den "Unerwünschte Inhalte(n)" unserer Boardregeln gehört. Bo
Der Exploit wurde sowieso schon überall rumgereicht, bis Ihn schließlich jemand als 0day Exploit public gemacht hat u. das noch als sein Werk hingestellt hat
Na ja, ist ja auch jetzt egal aber schaut euch mal den Code an. Wenn ein Javascript Bug existiert wurden jetzt mit dem neuen Update ja auch gleich alle anderen entfernt oder was
Leider wird hier nur gelabbert u. noch nicht einmal das gepostet über das es eigentlich geht - wie macht Ihr das überhaupt
Und Remover kommt dann gleich mit dem Spruch Don`t feed the trolls hier an
Ahnung hast du auch keine aber gute Kontakte zu den Mods hier oder warum steht dein Sinnfreier Kommentar hier noch drin?!
Um den Code zu verstehen, braucht man allerdings ein bißchen Erfahrung in Javascrip u. html, dann sieht man sofort das dies eine Angelegenheit von Minuten ist.
Ja FF machts möglich
Toller Update Services, gewöhnt euch daran, FF ist nichts besser eher schlechter wie ein überalterter IE oder Opera ect...aber labbern kann man viel um ein Produkt als gut hin zu stellen die Fakten sehen dann meistens anders aus.
Wünsche viel Spaß beim zerflücken...mal sehen ob einige hier sind, die etwas damit anfangen können u. eine vernünftige Diskussion aufgrund des Codes anfangen können
Mit 11.04 meinte ich den 11 Nov. 2004
Der link von heise, was soll das sein, ein Exploitcode
Eher wohl ein Scherz...
Fakten stehen dort, es ist das was du als Board sprengen bezeichnest
Hast dir viel mühe gemacht, bitte sachlicher werden sonst kann ich dir auch nicht helfen
Bond7, ihr siehst du die Qualität von IE.
http://www.mozilla.org/start/1.0/demos/credits.html
Sagt mal: geht's noch?
Ständig diese trotzig kindliche Streitereien, welcher Browser denn der besser sein soll. Seid doch froh, daß es ein paar verschiedene gibt, sonst würde einer alleie bestimmen, wo's langgeht - und sowas war noch nie gut. Und Löcher haben alle. Deshalb muß man sich doch nicht gleich zum Pressesprecher von Firmen/Vereinigungen erheben...
Ich bewundere die Geduld einiger Leute hier, deren Hemdskragen vermutlich aus Gummi zu sein scheint, sonst würde der platzen.
Hier einen Exploit (ist es einer?) reinzukopieren, ist eine tolle Leistung. Vielleicht findet dann auch der letzte tumbe H4x0r endlich einen tollen 'Virus' für seine bei Beepworld gehostete Warezseite... sowas sollte man meiner Meinung nach sofort nach dev/null schieben. Was Heise und andere Foren tun, ist deren Bier.
Sorry, aber ich tue mir das nicht länger an. Die Funktion ignore habe ich bei einigen Leuten in dieser Diskussion ausprobiert - und sie funktioniert.
bye,
StormRider
sagt mal ! tickt ihr noch richtig ...das oder der BUI bin ich garnicht.
@mods
sorry aber das muss gesagt werden bevor die hier noch mehr gerüchte streuen..
Moin zusammen!
Zunächstmal vorweg:
Ich habe keinerlei AHnung von Javascript, oder HTML. Ich informiere mich aus zwei Quellen:
verschiedene Boards, secunia und ich probieren die Browser selber aus. Punkt.
Diesen Browserkrieg verfolge ich eher amüsiert.
Meine Erkenntnisse:
- der IE: für viele einfach die erste Wahl, weil sofort vorhanden und zeigt alles problemlos an. Sicherheitstechnisch bestimmt nicht die erste Wahl. Aber warten wir mal den IE 7 ab, dann werden sich Fx und Opera warm anziehen müssen. Auch MS schläft nicht.
- der FireFox: guter Browser, stellt fast alles dar, durch Erweiterungen flexibel ohne Ende. "Out of the box" schon gut zu benutzen. Erinnert an den IE, keinerlei Werbeinblendungen, einfach zu benutzen. Wenn ich Rechner neu aufsetze installiere ich den meistens mit. Und wer FX dann ma ausprobiert hat, bleibt meistens dabei, bis er mal auf eine Seite stößt, die nicht mit dem IE funktioniert. Und schwupps ist schon der IE wieder der Standardbrowser.
Aber der FX wird m.E auch total überschätzt und hochgepuscht. Ohne "Gebastel" und Zusammensuchen von Erweiterungen ist der FX nicht besonders komfortabel oder schnell. Fakt ist aber auch, dass durch die gestiegene Popularität der Fx jetzt unter stärkerer Beobachtung steht und die Kritiker auch lauter werden. Auch der FX ist nicht perfekt und kann es auch gar nicht sein. Er ist einfach ein guter, einfacher Browser. Aber keine revolutionäre Software. Und auch bitte nicht vergessen, dass auch hinter "Opensource" große Firmen wie Google, IBM und AOL stehen, die mit Sicherheit nichts zu verschenken haben und auch ihre Interessen verfolgen...
-Opera : super komfortabel, und alles dabei. Aber mit mehr Problemen mit der Seitendarstellung und halt dieses Werbefenster, dass sfort ins Auge fällt. Und er ist auch in der 8er nicht so übersichtlich wie der IE oder Fx.
Sicherheitstechnisch halte ich Opera für am "sichersten", dann Fx und den IE.
Ich persönlich verwende Opera und FX parallel; je nach Lust und Laune. Fx, weil er problemloser darstellt, Opere, weil er mir einfac sympatisch ist und ich dieses "all in One" mag.
Bin ich jetzt ein "schlechter" Mensch, weil ich nicht nur OpenSource verwende, sondern auch den "Kommerz-Browser" Opera. Oder bin ich ein schlechter Mensch, weil ich nicht nur "den komfortabeltsen und innovativsten" Opera benutze, sondern nur Fx (der ja eh alles von Opera geklaut hat) ?
Und es kommt mit mir noch schlimmer: ich werde mir auch den IE7 anschauen!
Leute, es geht hier um Programme zur Internetbetrachtung!
Kritische und positive Berichte und Erfahrungen werde ich weiter gerne lesen. Aber lasst doch mal wirklich den "Glaubensaspekt" weg
Bis denne
Gruß
Olli
das Gerücht das IE besser ist im anzeigen ist, stimmt nicht. versteht nur den mist den er selbst eingeführt hat.
es gibt feste standarts für html usw, nur m$ hat sich nicht dran gehalten und eigene Spielereien eingeführt. sprich, sich nicht an den fest geschriebenen Standard gehalten. da aber 90% aller User den IE benutzten, fingen viele an ihre Seiten zu "optimieren" => sprich sich der m$ Diktatur anzupassen.
FF hält sich an die Standards. und Probleme gibt es nur bei hyper "optimierten" Seiten, die zum glück fast vollkommen der Vergangenheit angehören.
ich hab das nicht auf ActiveX bezogen. sondern nur auf das html...
http://www.zdnet.de/news/security/0,39023046,39132472,00.htm
Erstmal sorry, ich wußte nicht das dass posten von Exploits hier gegen die Boardregeln verstößt.
Wollte damit nur zum Ausdruck bringen, dass wenn ein Browser (FF) sich als sicher dastellt nutzt es vorallem denjenigen der diese Exploits ausnutzen. Man sollte so fair u. transparent sein es zuzugeben, dass es noch genügend andere Lücken (Exploits) gibt für FF die noch nicht gepacht wurden
Dies trifft wohl auf jeden Browser zu u. FF ist da keine Ausnahme....ich finde es ist besser das zu akzeptieren als sich dagegen zu verschließen
Andereiseits sehe ichd das posten von Exploits nicht als schädlichen Code an sondern man sollte den selben druck wie auf alle anderen Browser auch auf den Firefox ausüben sodann mal das Märchen von sicheren Browser endlich aufhört.
An Bond7:
Sorry, war nicht meine Absicht dass irgendwelche hier meinen ich hätte etwas hier in deinem Namen geschrieben. Sagt es doch nur aus, dass es höchste Zeit wird FF von seinem hohen Sockel mal wieder auf den Boden der tatsachen zu holen.
FF is dead
Nun ist auch die Portable Firefox Version auf den Stand von 1.0.3 angekommen.
http://johnhaller.com/jh/mozilla/portable_firefox/
Unterstützt von Invision Power Board (http://www.invisionboard.com)
© Invision Power Services (http://www.invisionpower.com)