firefox wird auch langsam unsicher

    Firefox:
    Zugriff auf Speicher möglich
    (diepresse.com) 06.04.2005
    Ein Fehler im Java-Script der Webbrower Mozilla und Firefox ermöglicht es Angreifern, auf Teile des Speichers von Usern zuzugreifen. Der Fehler wurde bereits behoben, die korrigierte Verion ist jedoch noch nicht erhältlich.
    Einst als überaus sicher angepriesen, kommen immer mehr schwere Mängel bei Firefox und Mozilla ans Licht.
    Einst als überaus sicher angepriesen, kommen immer mehr schwere Mängel bei Firefox und Mozilla ans Licht.

    Ein Lapsus in der JavaScript-Implementierung offenbart Angreifern Teilinhalte des Hauptspeichers, in dem vertrauliche Daten aus vorhergegangenen oder noch aktiven Browser-Sessions enthalten sein können, so heise.de auf seiner Hompage.

    Die Schwachstelle findet sich in der Replace()-Funktion. Bei Lambda-Expressions als zweitem Argument - also der Angabe einer Funktion statt eines Parameters - liefert die JavaScript-Engine noch Teile des Speichers hinter dem resultierenden String mit.

    Der Sicherheitsdienstleister Secunia hat eine Demo zu der Schwachstelle auf seinen Seiten veröffentlicht, mit der Anwender prüfen können, ob ihr Browser verwundbar ist.

    Von dem Fehler betroffen sind sowohl die Windows-Versionen von Firefox 1.0.1, 1.0.2 und Mozilla 1.7.6 als auch die Linux-Versionen. Der Fehler ist zwar in den gegenwärtigen Entwicklerversionen bereits behoben, bis zur Veröffentlichung einer offiziellen Version hilft jedoch nur, JavaScript abzuschalten.

    Der Fehler ist angeblich bereits seit 1997, also noch zu Netscape-Zeiten, bekannt. Zwar versuchte man ihn im Jahre 2000 zu korrigieren, wie sich jetzt herausstellte gelang dies aber nur zur Hälfte.

    Linktipps:

    Zitat

    firefox wird auch langsam unsicher

    Unsicherer wird ein Programm nur dann, wenn die Schwachstellen sich sammeln und nicht beseitigt werden. Werden Schwachstellen die auftreten beseitigt, bleibt die Sicherheit erhalten.

    Reisserischer Blödsinn.

    Das Javascript-Problem wurde des weiteren bereits in einem anderen Thread durchgekaut.

    Zitat

    Einst als überaus sicher angepriesen, kommen immer mehr schwere Mängel bei Firefox und Mozilla ans Licht.


    Zu beurteilen was "schwer" ist, sollte man Fachleute fragen, nicht Redakteure, die von der Thematik keinen Plan haben.

    Und solang der Satz nicht wie folgt beendet wird ", die umgehent behoben werden", ist er schlicht Irreführent.

    Wenn man 10 Lücken findet und alle 10 Lücken werden geschlossen, hat man immernoch 0 Lücken und das Risiko mit dem Browser (in aktueller Version) zu surfen ist kein bisschen gestiegen.

    Schon richtig -
    vielleicht aber trotz Umleitung ein Kommentar:

    Reste in Arbeitsspeichern mögen nicht eben lustig sein.
    Aber ist das ein Sicherheitsproblem des FF?

    Darüber hinaus würde mich interessieren, ob es ITW* einen solchen
    Angriff tatsächlich erfolgreich gegeben hat . Hierzu zählen inho keine
    Tests, die innerhalb desselben Systems vorgenommen werden.
    Es gibt m.E. keinen "sicheren" Browser.
    Das widerspricht dem Wesen ebender.

    Oder?

    P.

    *ITW = in the wild ; heißt: tatsächlich mit Erfolg praktiziert.

    Zitat von bugcatcher


    Unsicherer wird ein Programm nur dann, wenn die Schwachstellen sich sammeln und nicht beseitigt werden. Werden Schwachstellen die auftreten beseitigt, bleibt die Sicherheit erhalten.

    Reisserischer Blödsinn.

    Das Javascript-Problem wurde des weiteren bereits in einem anderen Thread durchgekaut.


    In 2en das ist der dritte -.-

    aber dass das jetzt nochmal kommt war ja eigentlich vorauszusehen und von PCWelt halt ich immer noch nichts

    Zitat

    Senior-Mitglied <<<< ich finde deinen TON

    einfach nur primitiv!


    und ich finde
    A. Er hat recht
    B. Er hat nur Fakten (meiner meinung nach) geschildert.
    C. Senior Mitglied JA UND? aber das hatten wir schonmal. ich bin dafür du suchst nach dem thread wo das vorkam. anscheinend brauchst du darin noch übung *feststell*

    Gruß HaMF
    PS: deswegen hätte ich solche threads immer gern gleich geschlosse (kein vorwurf an die mods, sondern ein appel an alle user) wir sind nicht erwachsen (benehmen uns nicht so) was das betrifft. aber ich kann da ja eigentlich nichts sagen ich bin auch kein gutes Vorbild *hust.entschuldigung*

    Signaturen sind doof.

    Zitat von mainz35

    Senior-Mitglied <<<< ich finde deinen TON einfach nur primitiv!


    Was hat denn bitte ein automatisch verteilter Foren-Titel Aufgrund von Postingzahlen für einen Zusammenhang mit der Qualität und dem Ausdruck meiner Postings zu tun? Muss man ab einer bestimmten Anzahl von Postings jetzt plötzlich ein bestimmtes Postingverhalten an den Tag legen? Die freie Meinungsäusserung garantiert mir, dass ich das sagen darf was ich für richtig halte.

    Desweiteren bedanke ich mich für das "primitiv". Kann mich nicht erinnern irgendwo jemanden beleidigt zu haben. Wofür hab ich jetzt die Beleidigung verdient? Naja. Bin nur ein primitives Senior-Mitglied. Ich verstehe das vermutlich eh nicht.

    Zitat von mainz35

    was glaubst du wer du bist ?


    Jemand mit einer Eigenen Meinung? Jemand mit grundlegendem Verständnis für die Thematik, der sich auch eine Meinung dazu bilden kann?

    Gegenfrage: wer glaubst Du bist denn Du, dass Du mich hier einfach von der Seite anfahren kann? Dafür dass Du derarten aggressiv gegen mich vorgehst, könnte man meinen, dass Du dich von mir hast angegriffen fühlst. Da ich sehr wohl erkennen kann das das Zitat aus einer Zeitung stammt, schiebe ich Dir denn Bericht garantiert nicht in die Schuhe, solange ich dafür keinerlei Anzeichen erkennen kann. Allerdings könnte man meinen er sei von Dir, so wie Du mich hier angehst.

    In dem Falle würde ich meine Aussagen nurnoch ausdrücklich unterstreichen: reisserisch, irreführent und unsachlich.

    Und für Yellowpress habe ich absolut nichts übrig.

    PvW: Einen Proof zu erstellen, heisst nicht, dass man die Lücke auch effektive ausnutzen kann. Es z.B. nicht mögliche gezielt bestimmte Speicherbereiche auszulesen um gezielt an Passwörter zu kommen. Man bekommt einen relative zufälligen haufen Daten in denen möglicherweise Passwörter drin sind. Und diese müssten dann auch im zusammenhang mit einem usernamen und dem ort, wo man es einsetzen kann innerhalb dieses speicherfetzens enthalten sein, sonst haben sie keinen nutzen. Ganz davon abgesehen, dass man, damit die chance auf solche informationen gross genug sind, riesige mengen von diesen speicher-lücken ausgenutzt und gesammelt werden, damit unter umständen mal ein ganzer satz passwort+benutzername+adresse in einem speicherblock enthalten sind. zudem müsste man es automatisieren können, da kein mensch freiwillig sein leben damit verbringt solche datenmengen von hand auszusortieren.

    und für ein script wird das ganze schon was schwerer. das würde die meisten dinge vermutlich nichtmal rausfiltern können, oder filtert auch falsche sachen raus. und am schluss steht man mit einem forumszugang in der hand da. sowas interessiert doch keinen hacker. damit lässt sich auch kein geld verdienen.

    solche lücken eignen sich nicht um sie auszunutzen auch wenn eine praktische gefahr besteht.

    Hi Leutz,

    Zitat von Kolibri

    Firefox erhält Bugfix-Update


    Damit sagst du uns nichts Unbekanntes, aber dennoch danke für den Hinweis.

    Zitat von Kolibri

    golem


    Der Artikel entbehrt nicht einer gewissen Richtigkeit, allerdings werden da schon wieder Links zu sogenannten RCs angeboten, die nichts als Links zu längst überholten nightlies sind.

    Have fun,
    NightHawk

    Zitat von NightHawk56


    Der Artikel entbehrt nicht einer gewissen Richtigkeit, allerdings werden da schon wieder Links zu sogenannten RCs angeboten, die nichts als Links zu längst überholten nightlies sind.


    Sind nicht mal die aktuellen Release-Candidates verlinkt: http://weblogs.mozillazine.org/asa/archives/007905.html