Hilfe - Suche - Mitglieder - Kalender
Vollansicht: Mozilla-/Firefox-Sicherheitslücke
Rokop Security > Neues von Rokop Security > News
Bo Derek
Wie die Firma Secunia berichtet, führt ein Fehler in der JavaScript-Implementierung von Firefox bzw. Mozilla dazu, dass Angreifer Teile des Speichers auslesen können. Auf der Seite von Secunia kann per Demo getestet werden, ob das eigene System anfällig ist. Secunia empfiehlt, JavaScript zu deaktivieren.
Yopie
Übel. sad.gif
Voyager
autsch, es werden bei jedem klick neue informationen aus dem speicher dargestellt, darunter auch alle browserfavoriten wink.gif
das sicherheitsleck würde ich als schwer einstufen , weil man damit damit garkeine externe spyware , keylogger ect. braucht um gezielt an informationen zu kommen.
Lucky
Aber es lässt sich keine gezielte Information rausfinden. Du musst da schon glück haben. Bei der letzten IE Lücke kann man ja Remote Programme ausführen auch nicht schön...

Klar die Lücke sollte schnellstens geschlossen werden, aber die Lücke im IE empfinde ich dennoch noch als schlimmer.

- björn
diddsen
oh mann, das ist doch echt zum ko..... ranting.gif
ständig ist irgendwas im argen....man weiss echt nicht mehr was man nehmen soll ph34r.gif
Voyager
@Lucky
QUOTE
Aber es lässt sich keine gezielte Information rausfinden

geht das schon wieder los mit den üblichen verharmlosungsversuchen ? rolleyes.gif
ich glaube du solltest mit dem mozilla/ff mehrmals auf den demolink klicken , damit du siehst welcher link oder information aus dem speicher eventuell nicht gerade an die öffentlichkeit oder in fremde hände gelangen sollte , ganz davon zu schweigen wie man diese informationen praktisch verwerten könnte.

hier wird das ganze noch deutlicher ob die ausgaben informationslos ? sind.
http://www.heise.de/newsticker/meldung/58228
QUOTE
Ein Fehler in der JavaScript-Implementierung der Websuite Mozilla und des Standalone-Webbrowsers Firefox offenbart Angreifern Teilinhalte des Hauptspeichers. Unter Umständen sind darin vertrauliche Daten aus vorhergegangenen oder noch aktiven Browser-Sessions enthalten.
diddsen
QUOTE(bond7 @ 04.04.2005, 21:59)
@Lucky

geht das schon wieder los mit den üblichen verharmlosungsversuchen ?  rolleyes.gif
ich glaube du solltest mit dem mozilla/ff mehrmals auf den demolink klicken , damit du siehst welcher link oder information aus dem speicher eventuell nicht gerade an die öffentlichkeit oder in fremde hände gelangen sollte , ganz davon zu schweigen wie man diese informationen praktisch verwerten könnte.
[right][snapback]87317[/snapback][/right]


wie ist das nun..... bei mir zeigt es da nur XXXXXXXXXXXXXXXX..... an.
Ist das nun schlecht oder gut und warum gibt es da unterschiede ? sollte doch bei jedem der ff nimmt gleich "schlecht" sein, also die lücker vorhanden sein?! unsure.gif
Voyager
das xxxxxx kommt nur im IE ! biggrin.gif du hast den falschen browser drann...
Frank_Henrich
nee, kommt bei der Version 1.03 auch ....

gruss Frank
the_dark_side
QUOTE
geht das schon wieder los mit den üblichen verharmlosungsversuchen ?

das ist eine tatsache..., vielleicht erst mal informieren?? du kannst mit dieser schwachstelle keinen bestimmten speicherbereich einsehen...das ist nur zufällig was man bekommt, das hat nix mit verharmlosung zu tun... für angreifer nicht wirklich relevant!

im IE sind schon wieder feher aufgedreten die mit sicherheit schwerer sind. aber da sagst du nix, oder...da sind das ja nur POC's..
deine logik^^..verstehe wer will..ich tue es nicht. auserdem gibts ne simple lösung: javascript aus!!

Jens1962
QUOTE(the_dark_side @ 04.04.2005, 22:13)
auserdem gibts ne simple lösung: javascript aus!!
[right][snapback]87322[/snapback][/right]

Wenn @Frank_Henrich Recht hat, dann gibt es auch die Lösung 1.0.3
Kann das noch jemand bestätigen? Bei mir läuft noch 1.0.2

Jens
Lucky
Der Bug ist nämlich schon in Version 1.0.3 geschlossen worden. Geht recht fix... :P

Ich habe mal einen Thread im Mozillazine Forum geöffnet:
http://forums.mozillazine.org/viewtopic.php?t=245852

- björn
the_dark_side
was man vom IE nicht behaupten kann....
aber da wird Bond7 uns ja gleich die passende erklärung für liefern rolleyes.gif
Lucky
QUOTE(bond7 @ 04.04.2005, 21:59)
geht das schon wieder los mit den üblichen verharmlosungsversuchen ?  rolleyes.gif
ich glaube du solltest mit dem mozilla/ff mehrmals auf den demolink klicken , damit du siehst welcher link oder information aus dem speicher eventuell nicht gerade an die öffentlichkeit oder in fremde hände gelangen sollte , ganz davon zu schweigen wie man diese informationen praktisch verwerten könnte.
[right][snapback]87317[/snapback][/right]

Bei mir kam nur komischer Datenmüll raus, ich weiß ja nicht wie du da wichtige Daten rauslesen magst...

Wer verhamlost denn Lücken? IE User mit Maxthon oder FF User die schnellsten ne Lösung a la neuste Version haben?

- björn
diddsen
QUOTE(bond7 @ 04.04.2005, 22:02)
das xxxxxx kommt nur im IE ! biggrin.gif du hast den falschen browser drann...
[right][snapback]87319[/snapback][/right]


ne ne mein jung wink.gif ich bin vielleicht nicht ganz so fit wie manch einer hier, aber blind bin ich noch nicht lmfao.gif
is schon der ff , die 1.0.3 halt .... vielleicht da schon gefixt confused.gif

Lucky
Also mit 1.0.3 kommen bei mir nur noch Leerzeichen.

- björn
Voyager
@Lucky
QUOTE
Wer verhamlost denn Lücken?

gute frage, nicht jeder user zieht sich jede woche eine neue betaversion des webbrowsers.
im anderen thread habt ihr euch darüber muckiert das ich von meinem standpunkt ausgehe , nur ihr macht ja hier genau dasselbe... wink.gif
da fragt sich dann wer der troll ist, der mit den eigenen standpunkten oder der wegen den standpunkten des anderen seine fassung verliert ? harhar.gif
Lucky
Na aber die Frage ist. Was ist sicherer. Ein Browser auf dem die Lücken komplett geschlossen werden weil die Programmierer auf den Quellcode zugreifen können oder ein Browser bei dem man sich durch einen Aufsatz (eventuell) in Sicherheit wiegt, aber nie genau weiß ob die Lücke nun komplett dicht ist? Weil nachprüfen ob die nun geschlossen ist kann man in meinen Augen beim IE + Maxthon nicht. Klar die Tests durchführen kann man, aber ich sehe darin keinen 100%tigen Schutz.

- björn
rock
QUOTE(bond7 @ 04.04.2005, 22:49)
gute frage, nicht jeder user zieht sich jede woche eine neue betaversion des webbrowsers.
[right][snapback]87342[/snapback][/right]


gestatten:

biggrin.gif
Voyager
@Lucky
QUOTE
Na aber die Frage ist. Was ist sicherer

und genau das hatte ich kürzlich schonmal klar formuliert. ich bin jemand der mögliche risiken kennt und damit umgehen kann, mich schreckt irgendwelches dünnflüssige geflame von IE-MS-gegnern (beziehe das jetzt bitte nicht auf dich, das ist nur eine allgemeinformulierung ) kein bischen ab, da ich mich selbst informieren kann und mit etwaiigen fehlern umzugehen weiss.
Lucky
Gut, deine Sicht. Für die vielen Daus die da draussen sind und aber denken der Maxthon schliesst alles, die haben dann trotzdem ein grosses Problem, in meinen Augen.

- björn
Kool_Savas
Hier habe geschrieben, das selbst wenn man nicht die 1.0.3 installiert sicher ist.

http://www.rokop-security.de/index.php?sho...indpost&p=87329
Bo Derek
Nun, ich muss da bond7 schon recht geben.

Erstens ist das Geflame gegen MS-Produkte unerträglich und zweitens gibt es für die breite Masse von Usern bestimmte Möglichkeiten, aktuell zu bleiben:

a) Das Update über Produktseiten und
b) das Update über die im Produkt integrierte Updatefunktion.

Nun kann man ja schon glücklich sein, wenn User überhaupt updaten, aber weder die Ressourcen über a) noch b) ermöglichen zur Zeit das Update von Firefox > Version 1.0.2.

Bei MS würde dieser Umstand trotz separat erhältlicher "Vorversionen" zu Foren- und Newsgroupgetrolle der üblichen Art führen. Bei Firefox, isser nicht knuffig der feurige Bär, ist das total okay.

Halten wir fest: es ist nicht zu erwarten, dass die Mehrheit der User Versionen außer der Möglichkeiten a) und b) einspielt. Insofern ist die aktuelle Version von Firefox nicht sicher hinsichtlich der in diesem Artikel behandelten Sicherheitslücke.

Und weil's so Spass macht, drehen wir uns im Kreis:

QUOTE
Secunia empfiehlt, JavaScript zu deaktivieren.


Das ist der Stand der Dinge, bis Updates über Weg a) oder b) veröffentlicht werden.
Voyager
@Lucky
hat ja auch keiner behauptet das maxthon eine wunderwaffe wäre, trotz das die entwickler des browsers schon einige dinge (damals populäre und aktuelle IE-securitybugs) möglich gemacht hatten was man in die sicherheitsstruktur des aufsatzes integrieren kann .
im maxthon-forum geht das aussergewöhnlich gesittet zu und viele hilfeersuchen und programmfixes werden ernsthaft untersucht um eine schnellstmögliche lösung zu finden.
Dieses ist eine vereinfachte Darstellung unseres Foreninhaltes. Um die detaillierte Vollansicht mit Formatierung und Bildern zu betrachten, bitte hier klicken.
Invision Power Board © 2001-2018 Invision Power Services, Inc.