News Neue Sicherheitslücke betrifft Firefox 2.0.0.2

[Nick K.]

@7
Sicher, dass du alles richtig konfiguriert hast? Schau dochmal unter Extras->Einstellungen->Sicherheit nach, da steht in der Mitte was zu den Passwörtern (z.B. Ausnahmen). Wenn du auf Ausnahmen gehst müsste die Seite drinstehn, auf der du gern dein Passwort gespeichert haben möchtest. Jetzt löscht du ganz einfach die Seite aus der Liste und gehst nochmal auf die Website und siehe da: du wirst gefragt ob du dein Passwort speichern möchtest.
Hoffe, ich hab dir bei deinem Problem geholfen!

Gruß

Nick

 

[bluntman]

@24

ich hätte es nicht geschrieben wenn es nicht so wäre

 

[die.foenfrisur]

mir kommt s dennoch so vor, als ob ff eine einzige sicherheitslücke ist...ähnlich dem ie...offenbar brauch ich mir mit opera da weniger sorgen zu machen
nur weil ff so viele nutzen, heisst es noch lange nicht, das es der besste ist...

mfg

 

[Sign_X]

Bei meinem Test unter Vista hat die Datenausführungsverhinderung Firefox 3 geschlossen.

 

[Forum-Fraggle]

@27 Soll kein Opera geflame werden:
Ist Opera eigentlich noch closed Source? Das könnte eine Erklärung sein, da er nicht ganz so stark verbreitet und (unter vorheriger Annahme) CS ist, gibt es vielleicht weniger, die ihn in dieser Richtung testen. Wie auch immer, er bleibt eine klasse Alternative.

 

[4erAck]

Es war doch eh bloß eine Frage der Zeit,bis die Sücherheitslücken im FF gefunden werden.
Der größte Feind eines Programmes ist Popularität.
Je mehr es nutzen,umso attraktiver wird es für Hacker etc. die Sicherheitslücken zu finden um daraus ihre Vorteile zu ziehen. Und sei es nur Stolz^^
Das hat nichts mit der Qualität eines Programmes zu tun. Würden plötzlich Millionen von Menschen Opera benutzen,will ich nicht wissen,wie viele Lücken da plötzlich auftauchen...

Gruß

 

[BeeHaa]

Schon sehr interessant, daß Zalewski erst nach der Veroffentlichung des Releases eine Lücke entdecken wollte. Und nicht bei zB. den letzten 2 RCs. Solche Leute sind zwar nützlich, aber wenn sie dafür vor allem nur im Rampenlicht stehen möchten, sollte man auf sie gelegentlich auch mal "einprügeln"

@Najef bin Abdul
Manchmal glaub ich echt, ich bin im falschen Film. Sicherheitslücken wurden im Fx schon immer gefunden. Es war also schon "eh bloß eine Frage der Zeit", aber das war bereits ~2002. DIESMAL wurde im Release keine gefunden.

 

[MonztA]

Hier der Test: http://lcamtuf.coredump.cx/ietrap/testme.html

IE7 stürzt bei mir ab, Firefox 2.0.0.2 nicht.

 

[Busta Rhymes]

Gibt keine Sicherheitslücke im FF also schön cool bleiben

 

[Braunbär]

@MonztA,
habe deinen Link auch mal mit der aktuellen Trunk Version Mozilla/5.0 (Windows; U; Windows NT 6.0; de-DE; rv:1.9a3pre) Gecko/20070224 Minefield/3.0a3pre und der 2.0.0.2 getestet und da war nix mit Absturz

 

[HappyMutant]

Jepp, ist jetzt auch im Trunk behoben. 1.5.0.10 und 2.0.0.2 waren scheinbar davon sowieso nicht betroffen. Jedenfalls sollte man mit der jeweils aktuellsten Version auf der sicheren Seite sein.

 

[Spielkind]

Bei mir besteht der FF den Test nur mit aktiven NoScript. Nur dann leitet der FF zu: h**p://slashdot.org/ weiter. Bei aktiven JavaScript landet er bei mir in einer Endlosschleife und läd die Seite nicht. Trotzdem komisch. Letztlich spricht auch dies hier, egal ob jetzt kritisch oder nicht, für die Verwendung der Erweiterung NoScript.

 

[HappyMutant]

Der Sinn des Tests ist den Browser zu crashen (wenn die Testseite verlassen wird), nicht unbedingt eine andere Seite zu laden. Ansonsten immer die Version mit angeben, weil sonst ist das ganze etwas witzlos bei drei eingesetzten Varianten (1.5, 2.0 und Trunk (3.0)).

 

[Spielkind]

Sorry, Missverständnis! Es handelt sich natürlich um den im Threadtitel genannten Browser. Einen Anderen hätte ich dann auch benannt. Das Hängenbleiben in der der Endlosschleife, beim Verlassen der Seite, deute ich aber als Versagen. Auch wenn ich nicht nachvollziehen kann was währenddessen passiert.

 

[HappyMutant]

Also, das Javascript-File was er lädt, verhindert ganz offensichtlich das laden der nächsten Seite. Mit NoScript lädt er das natürlich erst gar nicht weshalb man auf die angeforderte Seite kommt. Aber zumindest mit den aktuellen Versionen sollte er nur noch ein wenig rumrödeln und dann eine leere Seite laden, aber nicht hängenbleiben. Wenn man sich die besuchten Seiten anschaut kommt einfach ein Haufen Zeilen mit "wyciwyg://xxx/http://lcamtuf.coredump.cx/ietrap/testme.html". Die Frage ist, ob er so auch schadhafte Seiten laden kann mit dem falschen Titel.

 

[Spielkind]

...nur noch ein wenig rumrödeln und dann eine leere Seite laden, aber nicht hängenbleiben...

Genauso sieht das bei mir aus. Also alles i.O.. Vielen Dank.

Trotzdem bleibt imo ein schaler Nachgeschmack der für die Verwendung von NoScript spricht.

 

[HappyMutant]

Dem kann man zustimmen. Javascript ist mächtig genug, um unvorsichtige Klicks schnell bestrafen zu können. Und Sicherheitslücken wird es immer geben, insofern ist vorbeugen immer die sicherste Variante. (Wenn ich nur nich so bequem wäre ^^)

 

[Zweipunktnull]

wie M$, die auch erst Tage vor einem Patch überhaupt sagen, was kaputt ist...

Das finde ich auch schrecklich! Microsoft müsste sofort den Viren-usw.-Programmieren bescheid geben, damit die noch eine reelle Chance haben!

@ JavaScript
Nein bitte nicht NoScript integrieren. Firefox ist schon größer geworden, da muss man nicht noch mehr reinpacken... Sonst haben wir am Ende ein 50 MB Paket, wenn man alle möglichen AddOns integrieren würde..
Und mal allgemein zum Thema JS: JS ist sehr praktisch. man kann damit viele praktische sachen machen, die mit serverseitigen sprachen einfach nicht möglich sind. Man traut sich kaum JS zu verwenden, obwohls oft nützlich wäre... schade!
Was soll diese Panikmache immer? JS schadet von alleine keinem PC. Der Benutzer muss erst etwas falsch/unvorsichtig machen.
Nur ist das nicht überall so? Bei Emails, Chats usw...? Ich kenn diese Panikmache net mehr hören... das ist ne echt nützliche Scriptsprache.

 

[Forum-Fraggle]

@Computer Freak:
Ne, bei JS muß der Nutzer nichts falsch machen, genau deswegen wäre es besser gewesen NoScrtipt zu implementieren als den Pishing Schutz (war eh nur Populismus). Wenn man eine Seite besucht, kann man spätestens dann, wenn man auf ihr ist, entscheiden was zu tun ist. Bei JS wäre es dann aber zu spät. Außerdem sehe ich dank NoScript bei wievielen (seriösen) Seiten analysierende Scripte eingebaut sind. Vor allem ist es ohne NoScript ein Alles-oder-Nichts-Prinzip.

Ontopic:

Was mir gerade mal auffällt:
Der beanstandete Fehler war in 2.0.0.2, zur Zeit der Entdeckung also noch in einer Testversion. Aber er war am 16.1. in einer anderen Nightly bereits behoben. Entweder hat der Entdecker als eine veraltete Version genommen (und dann sollte er normalerweise eine aktuelle überprüfen), oder er hat sie vor dem 16.1. entdeckt. Warum so lange mit dem veröffentlichen warten??? Bzw. kann ich nicht einfach einen Fehler in einer Nightly als gegeben in einer final annehmen. Ser seltsam

 

[HappyMutant]

Leider sagt der Originalposter nicht was er getestet hat, aber wir können annehmen das er es mit einer Releaseversion getan hat. Sowohl 1.5.0.9 als auch 2.0.0.1 sind vor dem 16.1. rausgekommen und die aktuellen Versionen sind nachdem 22.2. (dem Tag des Bugreports) rausgekommen. Nur im Trunk wurde der Fix noch nicht eingespielt oder durch einen anderen Bugfix ausgehoben. Daher die Verwirrung, das es die 1.8 Branches immer noch betrifft. Man hätte nur nach dem Release vielleicht nicht mehr erzählen sollen das es auch 2.0.0.2 betrifft. Das war schon gefixt, so wie es im Bugreport auch steht. Und das slashdot da auch immer noch nichts korrigiert hat, das ist eigentlich sehr schwach. Aber wer schon Meldungen über Sicherheitslücken mit "haha" tagt...