Firefox 39.0.3 / ESR 38.1.1 behebt Sicherheitslücke

  • Zitat von spoofie

    Mag sein, dann frage ich mich aber doch, weshalb davon nichts in dem offiziellen Statement steht sondern nur im Kommentar.

    Weil es eigentlich naheliegend ist, dass wenn eine Sicherheitslücke im PDF-Betrachter existiert, diese nur auftritt, wenn dieser überhaupt zum Einsatz kommt und nicht etwas ganz anderes. Aber wohl nicht klar genug, so hat sich diese Frage halt in den Kommentaren ergeben und wurde dort beantwortet.

  • Zitat von spoofie

    Hast du gepatschte Version noch nicht bekommen?


    Doch. Meine Antwort war eigentlich für Sören gedacht, aber du bist dazwischen geraten. :)

    Firefox 106.0 Standardbrowser & Portabler.
    Windows 10/64 Pro 22H2, 19045.2193, Malwarebytes Premium, Adwcleaner, Thunderbird, Windows Firewall. Keine Tuningsoftware.

  • Zitat von bigpen

    aber du bist dazwischen geraten


    Sorry ;)

    Zitat von Sören Hentzschel

    Weil es eigentlich naheliegend ist,


    Ja, dass es naheliegend sei, dachte ich zunächst auch. Deshalb war ja mein Rat, zwischenzeitlich einfach einen externen Viewer zu nehmen. Dennoch, wie abifiz schon schreibt, so klar war das nirgends formuliert. Ich finde eher im Gegenteil. Und die Sache mit dem Adblocker erklärt sich nicht so naheliegend.

  • na, interessante Hinweise.

    dann wähle ich das Teil glatt wieder ab und switche wieder zu Adobe, der läuft wenigstens in ner Sandbox. und ohne Javascript demnach wohl sicherer als der Firefix eigene PDF-Viewer (der ja eigentlich als sooo sicher beworben wurde). :lol:

  • :shock:
    .. du liest nicht... mit dem UpDate ist das Loch wieder zu...
    und beachte vielleicht... die Aussagen zu irgendwelchen Sicherheiten beziehen sich immer und überall auf die bis dahin bekannten Erkenntnisse...
    Wer übrigens uMatrix oder NoScript etc. benutzt, war eher nicht gefährdet...

  • Zitat von Boersenfeger

    Wer übrigens uMatrix oder NoScript etc. benutzt, war eher nicht gefährdet...


    Und sollte sich dennoch nicht in Sicherheit wiegen. Die Aussage

    Zitat


    People who use ad-blocking software may have been protected from this exploit depending on the software and specific filters being used.


    ist nämlich nicht gerade sehr hilfeich weil unspezifisch. Da ein erfolgreicher Angriff keinerlei Spuren hinterlässt, kann niemand mit Sicherheit wissen, ob er nicht schon Opfer wurde. Vor dem Sicherheitsupdate. Daher sollte man im Zeifelsfall die Passwörter ändern.

    Das ist schon komisch. Sobald hier jemand mit xp erscheint oder nem alten IE unter Win 7 gibts hier ein riesen Trara. In diesem Fall empfiehlt sogar Mozilla selbst, die Passwörter zu ändern, wenn man eines der erwähnten Programm benutzt.

  • Zitat von Black-Cab993

    dann wähle ich das Teil glatt wieder ab und switche wieder zu Adobe, der läuft wenigstens in ner Sandbox. und ohne Javascript demnach wohl sicherer als der Firefix eigene PDF-Viewer (der ja eigentlich als sooo sicher beworben wurde). :lol:

    Zum Vergleich: Mozillas PDF-Betrachter hat eine Sicherheitslücke pro Jahr, der Adobe Reader 17 Sicherheitslücken pro Jahr (Quelle: Mark Schmidt, Head of Support Mozilla), Mozilla hat die Sicherheitslücke zudem gerade mal 16 Stunden (!) nach Bekanntwerden mit einem Update behoben, bei Adobe wartest du mehrere Tage auf ein Update. Nur weil jetzt mal eine Sicherheitslücke bekannt geworden ist, ist der PDF-Betrachter nicht per se unsicher, die Realität beweist das Gegenteil. Oder wie viele Sicherheitslücken sind dir vorher bekannt gewesen?

  • @Sören

    :) Schmunzel, schmunzel: Hatte mir Ähnliches still kopfschüttelnd gedacht...

    und übrigens:
    @Black-Cab

    Absolute Sicherheit in "digitalibus" wäre das Analogon zu einem bedächtigen, besonnenen, in-erregten alkoholsüchtigen Paranoiker... 8)

    abifiz

    Meine smarte, die kommenden Zeitalter bescheiden vorwegnehmende Signatur befindet sich noch in ihrem Herstellungsprozeß. Im 1. Quartal 2034 dürfte mit ihrer Lieferung zu rechnen sein.

    Vorläufig zitiere ich Karl Kraus: „Wer jetzt übertreibt, kann leicht in den Verdacht kommen, die Wahrheit zu sagen.“

  • Mußte das Update manuell einspielen, Firefox wollte nicht anders.

    Bei den überzogenen Reaktionen, muß man sich doch wirklich Fragen, ob man nochmal eine Frage einstellen soll.
    Es ging hier nur darum, ob die 0.3 angezeigt wird, oder nicht. Resultat waren Belehrungen, Pankreaktionen, usw. aber alles Äußerungen, die rein garnichts mit der Anfrage zu tun hatten.
    Jungs bleibt doch gelassener, ruhiger.
    Damit ich es nicht vergesse, die PDF Anzeige in Firefox war zum Zeitpunkt der Anfrage bereits abgeschaltet. Deshalb hatte ich auch absolut keine Eile beim Update.

  • Zitat von Sören Hentzschel

    ... Mozilla hat die Sicherheitslücke zudem gerade mal 16 Stunden (!) nach Bekanntwerden mit einem Update behoben,...

    Das ist tatsächlich löblich, mit Bekanntwerden muss hier allerdings "in der Öffentlichkeit bekannt werden" gemeint sein. Die eigentliche Wurzel des Übels, die Umgehung der Same-Origin-Policy, wurde bereits am 05.Juli als CVE-2015-2743 bei der NVD eingetragen. Vermutlich hatte Mozilla deshalb so fix einen Fix ;).

    "Du lachst? Wieso lachst du? Das ist doch oft so, Leute lachen und dann sind sie tot!"

  • Öffentlich bekannt ist die Sicherheitslücke seit Mozilla sie öffentlich bekannt gegeben hat. Und Mozilla ist sehr wohl in der Lage, innerhalb weniger Stunden ein Sicherheitsupdate bereitzustellen, das ist nicht das erste Mal der Fall. Dein Link bezieht sich auf eine vollkommen andere Sicherheitslücke, welche in Firefox 39.0 behoben worden ist und nichts mit der Sicherheitslücke zu tun hat, um die es hier geht. Darauf könnte man alleine schon deswegen kommen, weil in dem von dir genannten Link ein Link zum Mozilla-Advisory vorhanden ist, von Mozilla am 2. Juli angekündigt, also schon ein bisschen her. Darüber hinaus steht in dem von dir genannten Link sogar unmissverständlich, dass Firefox vor Version 39 betroffen war, hier geht es aber um eine Lücke in Firefox 39.0, die Version wird durch die Formulierung allerdings ausgeschlossen, der Link passt also nicht.

  • Zitat von spoofie

    Und sollte sich dennoch nicht in Sicherheit wiegen.

    Dies betrifft das Leben im allgemeinen...

    Zitat von spoofie

    Das ist schon komisch. Sobald hier jemand mit xp erscheint oder nem alten IE unter Win 7 gibts hier ein riesen Trara.

    Du siehst das anders?

    Zitat von spoofie

    In diesem Fall empfiehlt sogar Mozilla selbst, die Passwörter zu ändern, wenn man eines der erwähnten Programm benutzt.

    ... eben, wenn man eins der beiden Programme nutzt... und, und ich wiederhole mich da gern... wenn man uMatrix und uBlock nutzt, ist der Abstand zur Sicherheit um ein Vielfaches kleiner... :)

  • Zitat von Boersenfeger

    und, und ich wiederhole mich da gern... wenn man uMatrix und uBlock nutzt, ist der Abstand zur Sicherheit um ein Vielfaches kleiner... :)

    Da ist wieder eine der Formulierung, die ich in dieser Form nicht nachvollziehen kann. Zumindest nicht, wenn dir an Objektivität gelegen ist. Mozilla schreibt:

    Zitat


    People who use ad-blocking software may have been protected from this exploit depending on the software and specific filters being used.


    Das heißt nicht anderes als dass Benutzer von Ad-Blockern geschützt gewesen sein könnten. Zwischen diesem nicht näher spezifizierten "vielleicht" und der Aussage "um ein Vielfaches sicherer" besteht ein großer Unterschied. Kennst du weitere technische Details, auf denen diese Aussage beruht? Dann wäre es nett gewesen, diese auch zu nennen.

    Es gab zwischenzeitlich ein Update seitens Mozilla. Danach wurde nun auch eine Variante für Macs gefunden.

  • .. es ist mir relativ latte, ob du etwas nachvollziehen kannst... ich schrieb übrigens

    Zitat von Boersenfeger

    .. ist der Abstand zur Sicherheit um ein Vielfaches kleiner...

    Zitat von spoofie

    Zwischen diesem nicht näher spezifizierten "vielleicht" und der Aussage "um ein Vielfaches sicherer" besteht ein großer Unterschied.

    Du zitierst mich falsch... dies möchtest du bitte unterlassen, da mir Sachen in den Mund geschoben werden, die ich so nicht geschrieben habe...
    Absolute Sicherheit gibts nicht im Internet. Erst recht also keine vielfache Sicherheit...
    Weiters verwende ich nicht nur den AdBlocker uBlock sondern auch den Script-Blocker uMatrix.
    Deinen letzten Satz kann ich nicht in Zusammenhang bringen...

  • Zitat von Boersenfeger

    Du zitierst mich falsch...


    Das stimmt nicht. Ich habe dich zunächst korrekt zitiert und die Aussage des Zitats dann in eigenen Worten wiedergegeben. Die von mir verwendetet Anführungszeichen sind in diesem Fall nicht als Zitat zu verstehen, ganz im Gegenteil.

    Zitat von Boersenfeger

    dies möchtest du bitte unterlassen, da mir Sachen in den Mund geschoben werden, die ich so nicht geschrieben habe...

    Dann klär mich bitte auf. Wie ist die Aussage, dass der Abstand zur Sicherheit um eine Vielfaches kleiner wird, denn anders zu verstehen, als dass die Sicherheit mit dem Blocker wesentlich besser ist, bzw. in diesem Fall war.

    Mir sind keine Tatsachen bekannt, die den Begriff Vielfaches rechtfertigen würden. Er kann aber dazu führen, dass sich Nutzer um um eben dieses Vielfaches sicherer fühlen, obwohl sie es gar nicht waren. Latte hin oder her.

  • Zitat von spoofie

    ... kann aber dazu führen, dass sich Nutzer um um eben dieses Vielfaches sicherer fühlen, ...

    Ich denke, diese Nutzer können für sich selber entscheiden wie sicher sie sich fühlen oder gibst Du Dich als Sprachrohr für ander Nutzer?
    Kommt mir hier leider so vor. Musste ich einfach so deutlich zu Ausdruck bringen.

    Freundliche Grüße
    Barbara

    ____________

  • Ach Barbara-Z,

    ich verstehe ja, dass du dem Boersenfeger beistehen willst. Natürlich soll jeder Nutzer die Sicherheit selbst beurteilen. Nur halt nicht auf Basis einer falschen Behauptung.

  • Spaltet bitte in einem anderen Thread Haare, sonst mache ich von meinem Recht Gebrauch, meinen eigenen Thread zu schließen. Da ich diesen Thread erstellt habe, muss nicht erst gegen Regeln verstoßen werden, damit hier dicht ist, jeder Themenersteller hat jederzeit das Recht diesen Wunsch für sein eigenes Thema zu äußern (und ich kann es eben direkt umsetzen). :)

  • Einverstanden. Meinetwegen kannst du hier gern zu machen. Die Lücke ist schließlich geschlossen. Außerdem nehme ich an, dass du es hier bereits mitgeteilt hättest, wenn es nähere Erkenntniss dazu gäbe, unter welchen Bedingungen genau ein Add-Blocker geschützt hätte.