Zum Inhalt springen

Bugs in Firefox und Mozilla


MR
 Teilen

Empfohlene Beiträge

Schwachstellen in Firefox 1.0 und Mozilla 1.7.5 ermöglichen Angreifer, ausführbare Dateien auf PCs zu laden, Browser-Konfigurationen zu manipulieren und eingeschleuste Befehle auszuführen. Drei Lücken betreffen das Drag and Drop von Objekten einer Site auf den Desktop, das Ziehen von Links auf einen Tab sowie das Flash-Plug-in und den Opacity-Filter. Die Fehler wurden bislang nur in provisorischen Nightly Builds beseitigt. Ein neuer Phishing-Trick funktioniert bei Opera 7.54 und Mozilla-Browsern, nicht aber beim Internet Explorer: Angriffspunkt sind länderspezifische Sonderzeichen internationaler Domains: Ein kyrillisches a sieht aus wie ein deutsches, ist aber anders codiert. www.paypal.com etwa würde so auf eine Phishing-Seite führen.

www.mikx.de

www.mozilla.org

www.mozillazine.org/talkback.html?article=6038

Link zu diesem Kommentar
Auf anderen Seiten teilen

drum gibts ja auch schon seit 2 wochen den ff 1.0.1

und der hat auch noch fehler....

der neue phishingtrick funzt übrigens bei ie deswegen nicht, weil der immer noch keine sonderzeichendomains unterstützt

werŽs glaubt...

aber aus diesem grunde ist er ja auch sicherer als der mozilla und co...

auch wenn es nur in diesem fall ist...

aber zumindest gibt es für den IE immer noch mehr sicherheitsupdates als bei den anderen...

Link zu diesem Kommentar
Auf anderen Seiten teilen

Also die Güte eines Programes an der Anzahl der Sicherheitsupdates fest zu machen ersehe ich als äußerst kurzsichtig!

Und das sowohl für den Messwert "wenig Updates" wie "viele Updates", denn entweder, das Programm wurde so grottenschlecht programmiert, das es einfach viele Updats benötigt, oder es wurden bisher noch nicht alle gefunden!

Viel interessanter ist da doch, wie schnell wird ein Problem gefixt!!

Und die Reaktionszeit von Microsoft ist in der Regel nicht gerade rühmenswert!

und der hat auch noch fehler....
Stimmt Microsoft hätte sicher bis zum nächsten Servicepack in einem dreiviertel Jahr gewartet, damit möglichst alle anderen bekannten Fehler auch beseitigt sind.

Ist ja sch... egal, dass das System des Users derweilen unsicher ist.

Und das mit neuen Dingen auch neue Probleme und Gefahren aufkommen, will auch keiener bestreiten. Aber sich deswegen gegen Neuerungen zu stellen ist so ziemlich das Dümmste, das man tun kann!

Wer stehen bleibt, bleibt zurück!!

Und letztlich gilt doch sowie so:

Computer sind dafür da, Probleme zu lösen, die es ohne nicht gab!

Link zu diesem Kommentar
Auf anderen Seiten teilen

Wird langsam mal Zeit, daß sich ein paar Leute aufmachen, Viren zu schreiben, die Macs, Mozillas, Opera, Linux etc. angreifen, daß endlich mit diesen blöden Vorurteilen aufgeräumt wird.

Aufgrund des hohen Verbreitungsgrades von Windows und dem IE ist es nur logisch, daß genau diese Produkte angegriffen werden, denn da erwischt man mit einem Schlag 80 % der Computer und macht damit von sich reden. Und nur darum geht es!

Die diversen Produkte die neben dem Big M so dahindümpeln, haben auch Löcher, so groß, wie Scheunentore. Nur dafür interessiert sich keiner. Da lässt sich halt kaum Schaden anrichten, weil's einfach zu wenige davon gibt.

Wenn der Firefox endlich mal die ersehnte Verbreitung erlangt, werden sich einige wundern, wie angreifbar auch der ist...

Es geht hier ja schon lange nicht mehr um Sicherheitslücken, sondern um Features, die mißbraucht werden. So hat der Nimda (und seine Derivate) beispielsweise die CDO's aus Outlook mißbraucht, mit dem Ergebnis, daß die von Microsoft deaktiviert wurden, obwohl sich gerade damit geniale Sachen verwirklichen liessen.

Bin kein Microsoft-Fan, aber was wahr ist, muß wahr bleiben...

Link zu diesem Kommentar
Auf anderen Seiten teilen

Dagegen spricht ja auch keiner!

Wie gesagt, weder die Ausage: "Hier gibt es die meisten Updates!" noch die Aussage "Hier war es nicht nötig soviel upzudaten!" ist ein Maß dafür, wie gut ein Produkt ist!

Aber ich empfinde es schon als Unding, das MS meint BEKANNTE Probleme nicht sofort zu beheben, weil man noch aufs Service-Pack warten will, wo dann alle Fehler auf einmal behoben werden.

Und klar sind im Mozilla auch Fehler, und klar ist auch das neueste Update von Firefox verbuggt. Kein Programm ist wirklich frei von Fehlern. Wer will kann auch "Hello World" verbuggen! Aber was zählt, ist, dass dieses Patch rausgekommen ist, um dieses nun wirklich gigantische Sicherheitsproblem zu lösen!

Ein solches Feature von vorn herein nicht einzubauen ist aber keine Lösung!

Der ganz große Vorteil an diesen Proggis, die neben dem Big M laufen ist und bleibt, das jeder mit etwas Kenne sich selber hinsetzen kann und versuchen kann Fehler zu beheben!

Vorraussetzung dafür ist, das einzelne Programme nur wenig können, aber in der Gruppe Stark sind. Sicherheit ging schon immer auf Kosten der Bequemlichkeit! Bzw. wie es in der Realität aussieht:

Bequemlichkeit geht vor Sicherheit!!!

Link zu diesem Kommentar
Auf anderen Seiten teilen

bond in allen punkten recht geb.

und was m$ und security angeht, könnt ich hier abhandlungen schreiben, das ihr euch alle in eine ecke verkriecht, und gar bitterlich über die böse welt weint.

allerdings sicher nicht unter dem argument, das m$ halt eine große verbreitung beim browser hat. m$ verkauft seine produkte durchaus auch an große verreine, wie z.b. das pentagon oder verkaufte *fg* ... steigen ja jetzt alle auf linux um, siehe australien, ganz südamerika, china, münchen, wien, ... warum, wohl?

sicher nicht des preises wegen, da eine migration zu linux einiges an schulungen und aufwand bedarf - alleine, der sicherheit wegen.

was ist mit z.b. webservern? da hat linux die nase vorn, und passieren tut immer nur was, wenn der admin zu blöd war. das system selber ist zwar auch nicht 100% sicher, aber durch bestimmte mechanismen einfach nicht so leicht angreifbar wie ein windows. wenn windows ein scheunentor ist, dann ist linux ein mauseloch - zumindest eben, wenn man weiß, was man tut. dies nur als bspl.

man schaffts ja bei nem windowsserver nicht mal 100% (egal was man tut), die broadcasts in die weite welt abzustellen, und wundert sich anschließend, warum x attacken versucht werden, obwohl man nicht mal ne url mit dem server verbunden hat.

das ganze nur, um mal zu zeigen, das m$ nicht gerade das gelbe vom ei ist, und die verbreitung einer software nicht unbedingt mit der angriffshäufigkeit zu tun hat.

um zum firefox zurückzukehren.

der passiert auf der alten gecko-engine. die ist nicht schlecht.

die meisten mir bekannten securityholes beim ff kriegt man, weil man plugins von drittanbietern verwendet, da kann aber wieder der ff nix dafür, sondern nur der user, der das plugin installiert.

auch ist der user schuld, wenn er mal nicht ab und zu drüber nachdenkt, welche seiten "vertrauenswürdig" sind. und z.b. gerade sexseiten sind bekannt dafür, mal das eine oder andere script mitzusenden, das gleich mal per activex ein paar nette einträge in der hosts-tabelle macht.

grundsätzlich gehts heute vor allem um den user. wirkliche viren usw. gibts ja eh nicht mehr. die zielen alle nur mehr auf die blödheit der leute ab, weil die virenautoren selber zu dämlich sind, brauchbaren code zusammenzukriegen.

sprich: meiner meinung nach gehören nicht an erster stelle die softwareprodukte sicher gemacht, sondern die user - weil die sind eben heute die größte sicherheitslücke in der klicki-bunti-welt von windoof.

--> "wir klicken alles an, nur weil mans eben anklicken kann - vorher ne sekunde denken ist zu viel aufwand". die idioten da drausen klicken ja sogar links in mails an, die angeblich von ihrer bank kommen, und die spricht auf einmal englisch? aber nö, wir denken uns nix dabei ...

und es ist natürlich nur logisch, das irgend ne tussi von den camen islands oder aus russland unbedingt und ausnahmslos mit mir flirten will - da MUSS ich ja draufklicken, ich bin ja weltbekannt und vor allem schwanzgesteuert *g*.

nicht mal fähig zu gucken, ob der angegebene link auch wirklich dorthin führt, wohin er führen soll, sind die leute fähig. im link steht was von ebay.com, sieht man sich die infoleiste an, geht der link zu ebay.offizial.ws. ja bitte leute, könnt ihr wirklich nicht sehen, das da was nicht stimmt? muß da unbedingt der browser für euch denken?

würde die damen und herren user auch nur grundsätzlich ahnung haben, würden phishingattacken, crossitescriptings, mailware, usw. nicht funktionieren.

Link zu diesem Kommentar
Auf anderen Seiten teilen

  • 19 Jahre später...
  • 4 Wochen später...

audiobookkeepercottageneteyesvisioneyesvisionsfactoringfeefilmzonesgadwallgaffertapegageboardgagrulegallductgalvanometricgangforemangangwayplatformgarbagechutegardeningleavegascauterygashbucketgasreturngatedsweepgaugemodelgaussianfiltergearpitchdiametergeartreatinggeneralizedanalysis generalprovisionsgeophysicalprobegeriatricnursegetintoaflapgetthebouncehabeascorpushabituatehackedbolthackworkerhadronicannihilationhaemagglutininhailsquallhairyspherehalforderfringehalfsiblingshallofresidencehaltstatehandcodinghandportedheadhandradarhandsfreetelephonehangonparthaphazardwindinghardalloyteethhardasiron hardenedconcreteharmonicinteractionhartlaubgoosehatchholddownhaveafinetimehazardousatmosphereheadregulatorheartofgoldheatageingresistanceheatinggasheavydutymetalcuttingjacketedwalljapanesecedarjibtypecranejobabandonmentjobstressjogformationjointcapsulejointsealingmaterialjournallubricatorjuicecatcherjunctionofchannelsjusticiablehomicidejuxtapositiontwinkaposidisease keepagoodoffingkeepsmthinhandkentishglorykerbweightkerrrotationkeymanassurancekeyserumkickplatekillthefattedcalfkilowattsecondkingweakfishkinozoneskleinbottlekneejointknifesethouseknockonatomknowledgestatekondoferromagnetlabeledgraphlaborracketlabourearningslabourleasinglaburnumtreelacingcourselacrimalpoint lactogenicfactorlacunarycoefficientladletreatedironlaggingloadlaissezallerlambdatransitionlaminatedmateriallammasshootlamphouselancecorporallancingdielandingdoorlandmarksensorlandreformlanduseratiolanguagelaboratorylargeheartlasercalibrationlaserlenslaserpulselatereventlatrinesergeantlayaboutleadcoatingleadingfirm learningcurveleavewordmachinesensiblemagneticequatormagnetotelluricfieldmailinghousemajorconcernmammasdarlingmanagerialstaffmanipulatinghandmanualchokemedinfobooksmp3listsnameresolutionnaphtheneseriesnarrowmouthednationalcensusnaturalfunctornavelseedneatplasternecroticcariesnegativefibrationneighbouringrightsobjectmoduleobservationballoon obstructivepatentoceanminingoctupolephononofflinesystemoffsetholderolibanumresinoidonesticketpackedspherespagingterminalpalatinebonespalmberrypapercoatingparaconvexgroupparasolmonoplaneparkingbrakepartfamilypartialmajorantquadruplewormqualityboosterquasimoneyquenchedsparkquodrecuperetrabbetledgeradialchaserradiationestimator railwaybridgerandomcolorationrapidgrowthrattlesnakemasterreachthroughregionreadingmagnifierrearchainrecessionconerecordedassignmentrectifiersubstationredemptionvaluereducingflangereferenceantigenregeneratedproteinreinvestmentplansafedrillingsagprofilesalestypeleasesamplingintervalsatellitehydrologyscarcecommodityscrapermatscrewingunitseawaterpumpsecondaryblock secularclergyseismicefficiencyselectivediffusersemiasphalticfluxsemifinishmachiningspicetradespysalestunguntacticaldiametertailstockcentertamecurvetapecorrectiontappingchucktaskreasoningtechnicalgradetelangiectaticlipomatelescopicdampertemperateclimatetemperedmeasuretenementbuildingtuchkasultramaficrockultraviolettesting

Link zu diesem Kommentar
Auf anderen Seiten teilen

Deine Meinung

Du kannst jetzt schreiben und Dich später registrieren. Wenn Du ein Benutzerkonto hast, melde Dich bitte an, um mit Deinem Konto zu schreiben.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung wiederherstellen

  Nur 75 Emojis sind erlaubt.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

Lädt...
 Teilen



×
×
  • Neu erstellen...