Firefox Sicherheit Frage

sam2008

Hallo Zusammen,

gibt es eine Info von Mozilla wegen diese Sicherheit Probleme?

0.0.0.0 Day: Exploiting Localhost APIs From the Browser

Vielen Dank

Mfg

Sören Hentzschel

Hallo,

Stand ist genau das, was im von dir verlinkten Artikel zu Firefox steht. Und was den „undetermined point in the future, 0.0.0.0 will be blocked by Firefox“ betrifft, ist das bereits für Nightly- und frühe Beta-Versionen der Fall, für späte Beta- sowie finale Firefox-Versionen bald.

sam2008

Hallo Sören,

vielen Dank.

Ich habe eine Frage, wenn ich eine Extension schreibe, das alle Request von 0.0.0.0 zu 127.0.0.1 weiterleiten, wird diese Probleme behoben oder nicht?

Mfg

Sören Hentzschel

Ich weiß nicht, wozu genau du eine Erweiterung schreiben möchtest. Wenn es dir darum geht, die Anfragen bereits jetzt zu blockieren, setze network.socket.ip_addr_any.disabled auf true.

sam2008

Moin Sören,

vielen Dank.

In Firefox 128.3.1 ESR gibt es nicht network.socket.ip_addr_any.disabled Parameter. Soll ich selber erstellen?

Wenn ja und auf true erstellen, wird diese Sicherheit Lücke gelöst oder Firefox hat immer noch diese Lücke?

Hier ist meine Extension Code.

manifest.json Datei:

Code

{
  "manifest_version": 2,
  "name": "URL/IP Anfrage von 0.0.0.0 zu 127.0.0.1 Umleiter",
  "description": "Leitet alle Anfragen von 0.0.0.0 zu 127.0.0.1 um",
  "version": "1.0",
  "browser_specific_settings": {
  "gecko": {
    "id": "umleitung@intern.local",
    "strict_min_version": "128.0"
    }
  },
  "permissions": [
    "webRequest",
    "webRequestBlocking",
    "*://*/*"
  ],
   "icons": {
    "16": "icons/icon.png",
    "48": "icons/icon.png",
    "128": "icons/icon.png"
  },  
  "background": {
    "scripts": ["background.js"]
  }
}

Alles anzeigen

background.js Datei:

Code

chrome.webRequest.onBeforeRequest.addListener(
  function(details) {
    if (details.url.includes("0.0.0.0")) {
      const newUrl = details.url.replace("0.0.0.0", "127.0.0.1");
      console.log("Redirecting request to:", newUrl);
      return { redirectUrl: newUrl };
    }
    return { cancel: false };
  },
  { urls: ["<all_urls>"] },
  ["blocking"]
);

Alles anzeigen

Mfg

Sören Hentzschel

Zitat von sam2008

Soll ich selber erstellen?

Nein. Wenn Firefox ESR 128 diese Option noch nicht kennt, bringt es auch nichts, diese Option zu erstellen.

sam2008

Zitat von Sören Hentzschel

Zitat von sam2008

Soll ich selber erstellen?

Nein. Wenn Firefox ESR 128 diese Option noch nicht kennt, bringt es auch nichts, diese Option zu erstellen.

Hallo Sören,

ich habe fast gedacht.

Hast du meine Extension gesehen?

Findest du gut gegen diese Sicherheit Lücke?

Vielen Dank

Mfg

Sören Hentzschel

Ich kann zur Wirksamkeit der Erweiterung nichts sagen. Aber wenn du keine Weiterleitung benötigst und nur den Zugriff blockieren möchtest (also das, was Firefox dann auch machen würde), würde das auch mit einer Unternehmensrichtlinie und damit ohne Erweiterung funktionieren:

JSON

{
  "policies": {
    "WebsiteFilter": {
      "Block": [
        "*://0.0.0.0/*"
      ]
    }
  }
}

Ehrlich gesagt weiß ich aber nicht, wieso man nicht einfach auf ein entsprechendes Firefox-Update wartet. Firefox funktioniert jetzt schon seit mindestens 18 Jahren (!) so. Auf ein paar Wochen mehr oder weniger kommt es da auch nicht mehr an.

sam2008

Moin Sören,

herzlichen Dank. Leider Chefetage will nicht warten.

Mfg

Firefox Sicherheit Frage

sam2008 11. Oktober 2024 um 09:47

Ähnliche Themen

Mozilla bittet um eure Hilfe zum Aufspüren von Firefox-Installationsprogrammen durch Drittanbieter

Firefox Mikrofon Zugriff

Firefox und Thunderbird - vergleichbare Sicherheit?

Firefox friert ein bzw. stürzt ab

Updates zu Firefox

Hilfe, ich habe mein Firefox geschrumpft!