News Wichtiges Sicherheitsupdate für aktuelle Firefox-Browser

[Photon]

Danke für die News, hab das Zertifikat auch in der Liste gehabt, nun ist es erstmal weg.

 

[skillless]

Also unter Programme/Mozilla Firefox/Extensions ist nichts von Java zu sehen. Oder gibt es noch andere Extension Ordner?

Dann gugg mal in den User-Ordnern nach, wahrscheinlich in den versteckten.
Unter XP werden die Addons auch gerne mal hier gespeichert:

C:\Dokumente und Einstellungen\Benutzer\Anwendungsdaten\Mozilla\Firefox\Profiles\rfstcml2.default\extensions\

 

[ice-breaker]

Man hätte in den News das Problem wenigstens mal beschreiben können, denn es ist kein Fehler von Mozilla, der SSL-Dienstleister DigiNotar wurde gehackt und es wurden korrekte SSL-Zertifikate ausgestellt, die waren aber natürlich nicht beabsichtigt und werden somit nun deaktiviert.

Jeder Browser ist betroffen. Nicht nur der FF.



An der Qualität der News sollte man hier auf CB nochmal arbeiten...

 

[Painkiller72]

Es ist schon nicht mehr feierlich,wieviel Sicherheitslücken durch Hacks anschliesend behoben werden müssen,egal ob in einem Browser oder dem Betriebssystem.Ich mein,nicht das es früher auch schon so war,aber der Updatewahn und Sicherheitslücken haben schon sehr stark zugenommen oder meint ihr nicht auch ?

 

[MarcDK]

Dies ist auch unter Windows möglich, es ist aber standardmäßig ausgeschaltet. Du kannst es einschalten mit:

1. In die Adresszeile: about:config
2. die folgenden Werte ändern:
"app.update.enabled", true
"app.update.auto", true
"app.update.mode", 1
"app.update.silent", true

Edit:
@VidKo
Hier ist es: http://ftp.mozilla.org/pub/mozilla.org/firefox/nightly/7.0b3-candidates/build1/
Die Webseite wird später aktualisiert. Das Update befindet sich jedoch schon auf den FTP Servern. Im laufe des Tages wird es auch automatisch auf 7.0b3 geupdatet. Die Version steht auf bei "about:config" bei dem Wert "extensions.lastPlatformVersion".

Oh, das ist cool. Danke. Ich habe zwar MacOS aber ich probiere es mal

 

[PuppetMaster]

Wo sieht man eigentlich die Version? Bei mir steht nur 7.0 beta

Umständlich. Tippe "about:buildconfig" in die Befehlszeile, dann erscheint eine Seite mit Link: z. B.
Built from http://hg.mozilla.org/releases/mozilla-beta/rev/4ee096ccdd5a

Wenn du dem Link folgst, kannst du dem Changeset die Versionsnummer entnehmen:
FIREFOX_7_0b2_RELEASE


Ne einfachere Möglichkeit hab ich bisher nicht gefunden.

 

[Magellan]

Der Großteil der Browser verwendet die Zertifikatsverwaltung von Windows. Bei allen Versionen ab Vista ist das Problem bereits behoben, da die ständig Updates der Zertifikate von Microsoft ziehen.

Naja dennoch ist dies keine Lücke in FF, die bauen nur sicherheitshalber eine Sperre direkt im Browser ein.

 

[katanaseiko]

Bei mir wurde heute morgen beim ersten Starten FF 6.0.1 installiert. Sollte also behoben sein, oder? Laut "About Firefox" gibt es keine Updates mehr.

 

[etheReal]

Aber ich will gar nichts bestätigen oder auf "ok" klicken müssen bei solchen Sachen. Google bekommt es doch auch hin

Das Update kommt doch im Laufe des Tages automatisch, steht so im Artikel.
Und dass man das Update bestätigen muss, finde ich gut.
Eine Software, die mich über ein Update informiert, ist mir jedenfalls lieber, als eine, die einfach im Hintergrund irgendwas runterlädt, und ungefragt installiert.
Es gibt Webanwendungen wie Lotus iNotes, die laufen teilweise nur auf bestimmten Browserversionen. In so einem Fall möchte ich z.B. ein Update erst mal nicht installieren, und nicht einfach ungefragt upgedatet werden.

Wer's unbedingt so haben will, kann ja auch den Modus auf silent setzen (s. oben)

 

[b03ch7]

Man hätte in den News das Problem wenigstens mal beschreiben können, denn es ist kein Fehler von Mozilla, der SSL-Dienstleister DigiNotar wurde gehackt und es wurden korrekte SSL-Zertifikate ausgestellt, die waren aber natürlich nicht beabsichtigt und werden somit nun deaktiviert.

Wer's glaubt
DigiNotar hat zwar schon eine beachtliche Liste an Hacks vorzuweisen (tolle Leistung übrigens für eine CA), aber rausreden können sie sich dieses Mal nicht. Erst Recht nicht, nachdem ein externer Auditor zu dem Schluss kam, es wären alle "gefälschten" Zertifikate gefunden worden, und kurz darauf doch noch ein auftauchte.
Die CA, die übrigens für die Niederlande sehr bedeutend ist, sollte einfach ihre Korruptheit eingestehen und dicht machen. Ach übrigens: Es ging um ein *.google.com-Zertifikat, das im Iran für eine Man-in-the-middle-Attacke auf das Volk benutzt wurde...

 

[MonztA]

Ich ich nicht verstehe und was mich nervt: Wieso installiert der FF die Updates nicht vollautomatisch im Hintergrund wie z.B. Chrome? Wieso muss ich das selber machen im Jahre 2011? Gerade bei solchen Dinge wäre das doch sehr sinnvoll.

Das lässt sich doch in den Optionen von FF einstellen, oder nicht?

 

[riDDi]

Wenn unter Einstellungen => Erweitert => Verschlüsselung => Zertifikate anzeigen
noch ein Zertifikat mit dem Namen DigiNotar vorhanden ist, besteht die Lücke noch.

Man kann dem Zertifikat allerdings sehr einfach das Vertrauen (Durch einen Klick auf Löschen) entziehen.

Dadurch wird das Zertifikat allerdings nicht entfernt, wie man es an anderer Stelle lesen kann, sondern nur das Vertrauen entzogen. Öffnet man das Menü erneut erscheint der Eintrag wieder. Ein Klick auf bearbeiten zeigt, dass dem Zertifikat in keiner Art und Weise vertraut wird.

Ich ich nicht verstehe und was mich nervt: Wieso installiert der FF die Updates nicht vollautomatisch im Hintergrund wie z.B. Chrome?

Vermutlich weil du Firefox im Programme-Ordner installiert hast, für den nur Administratoren Schreibrechte haben. Chrome installiert sich in %APPDATA%\Local, wo auch Nutzer Schreibrechte haben.

 

[GuyIncognito]

Ich mein,nicht das es früher auch schon so war,aber der Updatewahn und Sicherheitslücken haben schon sehr stark zugenommen oder meint ihr nicht auch ?

Das kommt dir nur so vor. Einfach mal gucken wie viele Hotfixes Windows XP und Internet Explorer 6 zu Anfangszeiten bekommen haben.

Vermutlich weil du Firefox im Programme-Ordner installiert hast, für den nur Administratoren Schreibrechte haben. Chrome installiert sich in %APPDATA%\Local, wo auch Nutzer Schreibrechte haben.

Silent Update ohne UAC-Bestätigung sind bei Mozilla momentan in der Pipeline für zukünftige Versionen. Wenn das über den Umweg der Installation ins Benutzerverzeichnisses geht, kann natürlich auch bösartige Software den Browser "updaten" ohne dass der Nutzer davon Wind bekommt.

 

[Spock55000]

Also ich habe seit Version 4.0 nur Probleme mit FF. Andauernt hängt er für 15 Sekunden und will nicht, fängt sich zwar wieder aber es nervt. Habe mir jetzt wieder 3.6 installiert. Die werfen mir in letzter Zeit nur so mit Versionen um sich - scheinen voller Fehler zu sein.

 

[riDDi]

Silent Update ohne UAC-Bestätigung sind bei Mozilla momentan in der Pipeline für zukünftige Versionen.

Bitte ohne Mozilla-Updater, der immer im Hintergrund läuft und mit UAC. Einmal alle sechs Wochen sollte man ohne einen Wutausbruch zu kriegen auf "Ja" klicken können.

 

[Ruff_Ryders88]

jetzt funzt die google toolbar nicht mal mehr mit den nightly tester tools
bin am überlegen wieder firefox 3.6 zu nutzen. hab irgendwie seit der neuen update politik nur probleme mit dem Browser. Meine Kollegen sind alle schon auf Chrome umgestiegen, obwohl es dort ja eigentlich auch nicht anders ist.

 

[baizon]

@Ruff_Ryders88
Google Toolbar wird von Google nicht mehr weiterentwickelt, deshalb funktioniert er nicht. Es gibt im Forum alternativen womit man sich so ein Google Toolbar "zusammenbasteln" kann.

Also ich habe seit Version 4.0 nur Probleme mit FF. Andauernt hängt er für 15 Sekunden und will nicht, fängt sich zwar wieder aber es nervt. Habe mir jetzt wieder 3.6 installiert. Die werfen mir in letzter Zeit nur so mit Versionen um sich - scheinen voller Fehler zu sein.

Hatte auch bei der 4.0 solche Hänger. Das Problem war das beim Update von 3.6 auf 4.0 irgendwelche Einstellungen nicht richtig waren. Nachdem ich alle Einstellungen zurückgesetzt habe war das Problem behoben. Nicht vergessen alles vorher zu sichern!
Link wie man es macht: http://support.mozilla.com/de/kb/Benutzereinstellungen%20zur%C3%BCcksetzen

 

[fischi1305]

Nutze den FF 5.01 und meine Frage ist jetzt, DigiNotar gilt das auch für meine Version? Denn dieses zertifikat läßt sich nicht löschen,taucht immer wieder auf

 

[GuyIncognito]

Bitte ohne Mozilla-Updater, der immer im Hintergrund läuft und mit UAC. Einmal alle sechs Wochen sollte man ohne einen Wutausbruch zu kriegen auf "Ja" klicken können.

Selbst wenn zwischendrin mal Sicherheitsupdates kommen sollten, ist das Maß an UAC-Bestätigungen die von Firefox ausgelöst werden, echt gering. Aber es scheint irgendwie modern zu sein, dem Benutzer möglichst viel Transparenz über das was auf dem System läuft, wegzunehmen.

 

[etheReal]

bin am überlegen wieder firefox 3.6 zu nutzen. hab irgendwie seit der neuen update politik nur probleme mit dem Browser. Meine Kollegen sind alle schon auf Chrome umgestiegen, obwohl es dort ja eigentlich auch nicht anders ist.

Bei mir funktioniert FF 6 auf drei Rechnern problemfrei. FF 5 übrigens auch. Ich hab allerdings auch nicht allzu viele Add-ons installiert.

Ich hab Chrome auch schon ein paar Mal benutzt, aber ehrlich gesagt finde ich ihn nicht besonders gut. Die Optionen sind spärlich, und er unterstützt keine Monitorprofile (sprich auf meinem Wide-Gamut Monitor ist alles übersättigt). Schneller ist er bei mir auch nicht - ich hab überall SSDs, da starten alle Browser gleich schnell.