26.04.06 10:16 Uhr
 3.068
 

Sicherheitslücke macht Firefox-Browser angreifbar

Securident hat im Firefox-Browser Version 1.5.0.2 eine Schwachstelle entdeckt. Dabei handelt es sich um den Befehl iframe.contentWindow.focus(), der unter bestimmten Bedingungen den Browser abstürzen lässt.

Experten gehen davon aus, dass dieser Fehler ausgenutzt werden kann, um z. B. Viren und Adware einzuschleusen.

Da Firefox momentan noch keinen Patch bereitstellen kann, ist die einzige Möglichkeit, sich vor solchen Angriffen zu schützen, JavaScript über das Menü abzuschalten.


Videoplayer auf dieser Seite ausblenden
WebReporter: professorix
Rubrik:   High Tech
Schlagworte: Sicherheit, Sicherheitslücke, Browser, Firefox
Quelle: www.heise.de

Jetzt Deinen
Kommentar abgeben!

DAS KÖNNTE DICH AUCH INTERESSIEREN

Chaos Computer Club möchte Lücken bei Software "PC-Wahl" schließen
Facebook testet Snooze-Button: Pause von nervtötenden Freunden
NES Classic Mini soll im Sommer 2018 wieder erhältlich sein

Diese News zu meinen Favoriten hinzufügen Beitrag abgeben

29 User-Kommentare Alle Kommentare öffnen

Kommentar ansehen
26.04.2006 05:36 Uhr von professorix
 
+0 | -0
 
ANZEIGEN
Jeder lästert gegen Microsoft wegen seiner Sicherheitslücken. Aber gerade der Firefox-Browser beweist, dass je mehr Verbreitung eine Software findet, um so mehr machen sich Hacker die Mühe Lücken im Programm zu finden.

Habe gerade nachgeschaut und festgestellt, dass ich auch diese Vesion benutze. Ich werde aber Java nicht abschalten und hoffe auf eine schnelle Bereitstellung eines Patches.
Kommentar ansehen
26.04.2006 10:26 Uhr von Zenon v.E.
 
+0 | -0
 
ANZEIGEN
Das hat nichts mit Java zu tun! Es geht bei der Lücke ausschliesslich um Javascript!
Kommentar ansehen
26.04.2006 10:28 Uhr von Katerle
 
+0 | -0
 
ANZEIGEN
wenn man lange genug sucht findet man in jedem Browser bzw. Programm eine Sicherheitslücke. Es gibt absolut nichts, was keine Schwachstelle hat.
Kommentar ansehen
26.04.2006 10:31 Uhr von -xcx-
 
+0 | -0
 
ANZEIGEN
@autor: "veRsion" heisst es. ausserdem schliess ich mich meinen
vorrednern an. ich benutz immernoch lieber FF durch geile
plugins und die sehr gute tabfunktionen (btw hab ich opera
noch net ausprobiert). :)
Kommentar ansehen
26.04.2006 10:45 Uhr von Joeiiii
 
+0 | -0
 
ANZEIGEN
Endlich ist mal Firefox dran, der angeblich beste und tollste Browser der Welt, der von mindestens 101% aller User benutzt wird.

Naja, ich hab auch diese Version vom Firefox, und nebenbei den IE 6.0 und Opera 8.5. Hauptsächlich surfe ich aber sowieso mit dem IE.

Im Grunde ist es auch egal mit welchem Browser man surft. Es gilt ständig wachsam zu sein,.... nicht jeden Porno-Link anklicken und nicht jeden x-beliebigen Trojaner installieren. Ich benutze jetzt seit 8 Jahren den IE, und ich habe mir noch NIE ein Problem eingefangen nur weil ich diesen Browser benützt habe.

Ich schätze mal daß mindestens 90% aller Probleme NICHT durch einen unsicheren Browser erzeugt werden, sondern durch die Fahrlässigkeit und Unfähigkeit der Menschen die am PC sitzen.
Kommentar ansehen
26.04.2006 11:05 Uhr von Ali_Mente
 
+0 | -0
 
ANZEIGEN
@Joeii: Will ja nicht schleimen...aber ich geb´ dir zu 100% recht :)
Kommentar ansehen
26.04.2006 11:09 Uhr von DER_Schnupfen
 
+0 | -0
 
ANZEIGEN
Naja, im gegensatz zum IE muss man beim Firefox nicht warten bis das system von sober iloveu oder sonstwas heruntergefahren wird, sondern bekommt gleich eine Warnung und eine Anleitung wie man das Problem vorübergehend beheben kann, bis der Patch, welcher bereits getestet wird, die Lücke schliesst.
Würde mal sagen das liegt daran das Firefox open source ist und jeder daran mithelfen kann fehler zu beheben, ein Privileg das sich der IE ja nicht leisten kann, da man sonst den geheimen Kontrollfunktionen von Microsoft auf die Schliche kommen würde.
Kommentar ansehen
26.04.2006 11:11 Uhr von Chatfix
 
+0 | -0
 
ANZEIGEN
ich nutze hauptsächlich auch nur ie und hatte auch noch nie probleme...

hab FF und Opera nur nebenbei laufen zum vergleich wie meine website mit denen aussieht...
Kommentar ansehen
26.04.2006 11:25 Uhr von EagleData
 
+0 | -0
 
ANZEIGEN
@DER_Schnupfen

da geb ich dir mal Recht. Der Unterschied zwischen Firefox und IE ist nicht unbedingt, das einer mehr Bugs hat als der andere. Klar beim Firefox gehts erst los, bei IE suchen schon seit Jahren alle nach Bugs. Klar das es da mehr gibt. Der Unterschied ist nur das Firefox OpenSource ist, und es weltweit genug Programmierer gibt, die sich nach bekannt werden eines Bugs hinsetzen und ihn beseitigen. Nicht wie beim IE wo vielleicht nach Monaten oder gar nicht mal ein Patch kommt.

Natürlich muss man auch den IE-Liebhabern Recht geben, nicht nur das Programm ist das Problem, wenn der User zu doof ist ...
Kommentar ansehen
26.04.2006 11:28 Uhr von EagleData
 
+0 | -0
 
ANZEIGEN
Nachtrag: wie in der Quelle zu lesen ist, ist der Bug seit dem 18.4 bekannt. Und es wird im Moment der Patch getestet. Wann ginngs mal bei MS so schnell?
Kommentar ansehen
26.04.2006 11:42 Uhr von DER_Schnupfen
 
+0 | -0
 
ANZEIGEN
musst sie ja nich gleich wieder reizen :)
Kommentar ansehen
26.04.2006 11:45 Uhr von PompeiPit
 
+0 | -0
 
ANZEIGEN
Hmmm: Warum sollte es beim Firefox keine Bugs geben? Gut, ich nutze Firefox hauptsächlich, weil er Funktionen integriert hat, die beim IE zusätzliche Installationen erfordern (search bars usw.), weil Firefox die Tab-Funktion besitzt. Der Pop-Up-Blocker ist besser - einfacher zu handhaben. Und dann - was das Wichtigste ist: Mit jeder neuen IE-Version werden auch neue Bugs ausgeliefert. Mittlerweile gibt es die Bugs bereits in der 7. Version. So, jetzt hat Firefox auch Änen Bug - im Gegensatz zu Microsoft gibt es dafür wohl in den nächsten Tagen - 14 Tage nach Bekanntwerden! - einen Patch. Wie lange braucht MS für sowas?
Kommentar ansehen
26.04.2006 11:49 Uhr von Kwitschibo
 
+0 | -0
 
ANZEIGEN
Falschaussage: Die Lücke wurde als nicht kritisch eingestuft, also in den News nicht übertreiben, das macht unglaubwürdig. Dafür eine schlechte Bewertung.
Kommentar ansehen
26.04.2006 11:53 Uhr von Kwitschibo
 
+0 | -0
 
ANZEIGEN
Autor: [Nach lesen der Autorenmeinung kann man sicher sein dass ... du dich mit deiner Wortwahl gern woanders austoben kannst. edit wbs] PS: Die Tage wurde eine hoch krtische Lücke im IE gefunden. Die Firefoxlücke eignet sich maximal für DDoS, die IE Lücke für Remote Access. Ergo lieber Autor: Wenn man keine Ahnung... den Rest denk dir.
Kommentar ansehen
26.04.2006 12:28 Uhr von savra
 
+0 | -0
 
ANZEIGEN
Zur Autormeinung: Du bringst da einiges durcheinander. Erstens ist nirgends
die Rede von Hackern. Zweitens hat das ganze nichts mit
Java zu tun. Drittens geht es hier um eine Sicherheitlücke,
und ich frage mich, wie Du da die Verbreitung Firefox´ mit
ins Spiel bringen kannst -- in der Vergangenheit wurden
deutlich mehr Fehler auch ohne eine breite Benutzerbasis
gefunden, wie man beispielsweise bei Bugzilla
nachschauen kann. Viertens ist nicht geklärt, inwiefern
sich dies Lücke zum Einschleusen schadhafter
Programme verwendet werden kann, und ganz so einfach
ist das auch nicht. Fünftens würden natürlich auch die
schadhaften Programme nur mit den Rechten Firefox´
laufen, was beim IE mit seiner Systemintegration kritischer
ausfallen kann. Soviele Irrtümer und Fehlannahmen in
einem Kommentar mit zwei Absätzen, dazu kann man
schon gratulieren.

PS: Nein, ich nutze weder Firefox, noch mag ich diesen
Browser -- er ist fürchterlich.
Kommentar ansehen
26.04.2006 12:40 Uhr von savra
 
+0 | -0
 
ANZEIGEN
@EagleData: @EagleData: Du findest es klar, daß es mehr Fehler im IE
gibt, weil länger danach gesucht wurde? Müßte es nicht
dann eigentlich weniger geben?

Das Problem beim IE ist nicht nur seine Fehleranzahl,
sondern vor allem seine Komplexität. Es dauert nicht nur
lange, bis ein Fehler untersucht und behoben ist -- daß
Microsoft so lange mit Patches auf sich warten läßt, hat
seinen Grund --, sondern es kommt sogar öfter vor, daß
ein Fehler trotz Patch nicht behoben ist oder sich neue
Lücken erst durch den Patch auftun. Die Komplexität und
die damit verbundene Unübersichtlichkeit und größere
Fehlerquelle macht sich dann auch in den Ausmaßen der
Fehler bemerkbar, die in vielen Fällen über Kleinigkeiten
hinausgehen, sondern meist sehr kritisch sind.

Anbei sei bemerkt, daß die Technologie hinter Firefox, wie
beispielsweise die Rendering Engine Gecko, ebenfalls
schon etwas älter ist.
Kommentar ansehen
26.04.2006 13:10 Uhr von EagleData
 
+0 | -0
 
ANZEIGEN
@savra

>Müßte es nicht dann eigentlich weniger geben?

Nein. Ich meinte nicht das der eine weniger Bugs als der andere hat. Klar hat Firefox sicher noch ein Haufen Bugs die keiner bisher gefunden hat. Nur den IE gibts nunmal länger als Firefox (zumindest mit der Popularität). Und er ist nunmal weiter verbreitet, deshalb für ScriptKiddies nunmal sinnvoller, wenn Sie Lücken suchen, die sie nutzen können. Bei ner Software die über viele Jahre von vielen Leute genutzt wird, kommen Bugs schneller zum Vorschein als bei ner recht "Neuen".

Ich will jetzt hier keine Diskussion führen, welcher Browser besser ist. Jeder hat seine Vor- und Nachteile. Und über Geschmack lässt sich streiten.

Mir ging es nur darum, das Bugs im Firefox meiner Ansicht nach wesentlich schneller bearbeitetet werden. Und jeder bekommt dann automatisch die Updates und ist sofort auf dem neuesten Stand. Beim IE muss man erstmal das Windowsupdate anschmeißen.
Ich hab schon oft genug von Bugs im IE gelesen die über Jahre hinweg nicht gefixt wurden, obwohl sie zum Teil kritisch waren. Das kann ich mir beim Firefox nicht vorstellen.
Kommentar ansehen
26.04.2006 15:49 Uhr von Troll-Collect
 
+0 | -0
 
ANZEIGEN
"Bei ner Software die über viele Jahre von vielen Leute genutzt wird, kommen Bugs schneller zum Vorschein als bei ner recht "Neuen""

Nicht etwa bei einer Software, deren Quellcode offen ist (FF), statt wie ein Staatsgeheimnis gehütet (IE) wird?
Und bei MS wird mit Sicherheit der eine oder andere Experte darauf angesetzt sein nachzuweisen, daß die anderen ja auch Fehler haben.
Kommentar ansehen
26.04.2006 15:59 Uhr von EagleData
 
+0 | -0
 
ANZEIGEN
genau: Wenn ich den Quellcode von ner Software habe, kann ich viel leichte Fehler finden und sie beseitigen (im Besten Fall). So ist die Wahrscheinlichkeit viel höher Fehler zu finden, als wenn ich einfach irgendwas testen muss.

Würde MS den Quellcode vom IE freigeben und ihn als OpenSource anbieten, wären sicher im nu ne Menge Bugs weg und er würde vielleicht sogar den FF und andere fast komplett verdrängen. Aber dann kann man ja kein Geld mehr damit machen ...

> Und bei MS wird mit Sicherheit der eine oder andere Experte darauf angesetzt sein nachzuweisen, daß die anderen ja auch Fehler haben.

Naja sollten die "Experten" mal lieber die Bugs im IE beseitigen, ne ne ne *kopfschüttelnweglauf*
Kommentar ansehen
26.04.2006 16:19 Uhr von Kwitschibo
 
+0 | -0
 
ANZEIGEN
Verglecih der Aussagen: Der Autor unterstellt in der News: "Experten gehen davon aus, dass dieser Fehler ausgenutzt werden kann, um z. B. Viren und Adware einzuschleusen." - Experten jedoch selber schreiben:

Critical: Not critical
Impact: DoS
Where: From remote

Da Frage ich mich woher der Autor seine Behauptung ziedht... ob ob es nicht einfach nur eine Provokation ist.
Kommentar ansehen
26.04.2006 17:52 Uhr von Enny
 
+0 | -0
 
ANZEIGEN
kein geheimnis: Jedes Betriebssystem ist anfällig und jeder Browser ist anfällig.
Sogenannte Sicherheitslücken findet man immer. Man muss nur danach suchen.
Kommentar ansehen
26.04.2006 18:25 Uhr von professorix
 
+0 | -0
 
ANZEIGEN
Update der Quelle und Kommentar zu User Kwitschibo: 1. Kwitschibo: Ich kann mit jeder Form von Kritik umgehen, auch unsachlicher, aber wenn es an persönliche Beleidigungen geht, hast du Grenzen überschritten, die ich nicht so ohne weiteres akzeptiere. Ich hoffe, du wirst in Kürze von den Forenmastern eine entsprechende Mail erhalten.

2. Dass du unsachlich diskutierst zeige ich dir mal an deinme letzten Posting:


>>>Der Autor unterstellt in der News: "Experten gehen davon aus, dass dieser Fehler ausgenutzt werden kann, um z. B. Viren und Adware einzuschleusen." - Experten jedoch selber schreiben:


Inzwischen hat Heise ein Update herausgebracht und damit noch die MÖGLICHKEIT (d.h. es ist realisierbar!) eines Mißbrauchs verstärkt. Zitat aus dem Update der Quelle: "Dies ließe sich von Angreifern theoretisch zum Einschleusen von Schadcode ausnutzen, schreibt Veditz in seiner Stellungnahme. Jedoch sei dies weitaus schwieriger als bei einem Pufferüberlauf."

Sicherlich werden als Script-Kiddies keinen Mißbrauch treiben können, dafür aber Hacker, die kriminelle Energie haben. z.B. wäre es möglich einen Code einzuschleusen, der die Festplatte nach Paßwörtern durchsucht. Dass diese Programme nicht einfach zu realisieren sind, schreibt ja die Quelle. Es ist also möglicherweise ein Rennen gegen die Zeit, ob es ein Hacker schafft, diese Lücke auszunutzen.

Critical: Not critical
>>>Impact: DoS
>>>Where: From remote

>>>Da Frage ich mich woher der Autor seine Behauptung ziedht... ob ob es nicht einfach nur eine Provokation ist.


Bei diesem Kommentar möchte ich mal unterstellen, dass DU provozierst, denn du spielst eine Angriffssituation herunter, die wenn sie erst einmal ausgenutzt wirde, möglicherweise einen Riesenschaden erzeugen kann.
Kommentar ansehen
26.04.2006 18:40 Uhr von Kwitschibo
 
+0 | -0
 
ANZEIGEN
@professorix: Lesen kann Bildung nach sich führen, versuch es doch einmal damit. Möglichkeiten und Thesen auf BILD Niveau haben in Newseinsendungen wenig zu suchen, es sei denn man ist auf entsprechenden Seiten unterwegs. Der Ton macht die Musik, und dein Ton war voller Provokation fern der eigentlichen News. Und der einzige Riesenschaden... nein... der entsteht nicht bei der Lücke... du kannst dir selber denken wo der Schaden ist. Heise hat es mehr als deutlich geschrieben... und du machst daraus eine riesen Lücke mit extremen Potential zur Weltherrschaftsübernahme. - Oder anders... Firefox bashen für Anfänger.
Kommentar ansehen
26.04.2006 18:55 Uhr von Thank_you1
 
+0 | -0
 
ANZEIGEN
Manchmal ist schon komisch sowohl hier, als auch in anderen Foren surfen die meißten Leute mit Firefox, haben einen Linux-Rechner, oder einen Mac, schimpfen auf Microsoft....weil es eben "Inn" ist..

LOL

Ist doch klar, das man Sicherheitslücken sucht, von Programmen, die die meißten Leute benutzen.....der, der Hackt, möchte seine innerliche Befriedigung finden..darum auch auf Programme, die viele Leute benutzen.

Wegen solcher Themen verkaufen Pc-Zeitungen jeden Monat ihren Mist und erhöhen ihre Auflage stätig. *lol*

Kommentar ansehen
26.04.2006 21:44 Uhr von DER_Schnupfen
 
+0 | -0
 
ANZEIGEN
Ja und bill gates hat gesagt, ihr seid alle doof.
Leider war dieser Satz ein Virus der ihm von einem fiesen Open Source Programmierer untergejubelt wurde.
Daraufhin haben sich alle Unix-User gegen das Microsoft-Imperium zusammengeschlossen und tragen jetzt den vierten Weltkrieg im cyberspace aus.

Es gab grosse verluste auf beiden seiten da die meisten der freaks sich künstlich aufgeregt haben und dann an ihrer eigenen Blödheit verreckt sind.

Prost Malzeit

Refresh |<-- <-   1-25/29   -> -->|
Diese News zu meinen Favoriten hinzufügen Beitrag abgeben


Copyright ©1999-2017 ShortNews GmbH & Co. KG

Die News auf dieser Website werden eigenverantwortlich von Nutzern erstellt. Die Shortnews GmbH & Co. KG nimmt keinen redaktionellen Einfluss auf die Inhalte.

impressum | agb | archiv | usenet | zur mobilen Ansicht
SCHLIESSEN

Willst Du die Seite wirklich verlassen?


...oder unseren und keine aktuellen News mehr verpassen?