"Firefox Multiple Vulnerabilities"

Aber 1.0.5 ist schon Realesed. Tja da haben sie den Fehler nach Mozilla gefunden.

Zitat von DasIch

Aber 1.0.5 ist schon Realesed. Tja da haben sie den Fehler nach Mozilla gefunden.

Nein, die News solange zurückgehalten, bis der Fix dazu da ist

Zitat von DasIch

Aber 1.0.5 ist schon Realesed. Tja da haben sie den Fehler nach Mozilla gefunden.

Schonmal dran gedacht, dass da Hand in Hand gearbeitet wird? Secunia darf den Bug veröffentlichen, aber erst wenn dieser gefixed ist. Somit gibt es sehr wenig Zeit für Bösewichte, Exploits zu programmieren und diese zu streuen, da ja jeder ein lückenloses System haben kann... Eine Verbreitung bedingt durch diese Sicherheitslücke ist also relativ unwahrscheinlich, sollte es doch gelingen, dann nicht in dem erwarteten Ausmass ohne Security Patch

[EDIT]..zu spät, hatte aber auch mehr Text! [EDIT]

CharlysTante: :klasse:

Arbeitet ihr bei der Firma oder wieso seit ihr euch da so sicher???

CharlysTante / UliBär: Hm, warum gibt es dann überhaupt noch Security-Meldungen?

Und nebenbei, wenn die Meldungen schon vorher kämen, fände ich das besser. Wer sagt denn, dass nicht jemand anders auch diese Lücke bemerkt und die dann besser ausnutzen kann?

UliBär: [Blockierte Grafik: http://easy.go.is/hubs/asylum/liebe053.gif]
[Blockierte Grafik: http://img126.exs.cx/img126/997/36_1_11.gif]

Zitat von wupperbayer

CharlysTante / UliBär: Hm, warum gibt es dann überhaupt noch Security-Meldungen?

Und nebenbei, wenn die Meldungen schon vorher kämen, fände ich das besser. Wer sagt denn, dass nicht jemand anders auch diese Lücke bemerkt und die dann besser ausnutzen kann?

Die Erfolgsquote wäre in diesem Fall sicher höher, sollten Hacker dies sofort ausnutzen. Die Welt ist nunmal schlecht. Deshlab gilt es die Unbedarften und Unschuldigen zu schützen. Wenn EINER das ausnutzt, muss es nicht die gleiche Wirkung haben, wie wenn dutzende unterschiedliche Exploits ins Web werfen und per Mail verschicken...

DasIch & wupperbayer:
Wissen ist Macht => Weiß nichts, macht nichts
Nix für ungut

Nun ja, man muss ja nicht direkt nen Exploit bereitstellen, es reicht doch, zu sagen, es funktioniert. Und den Entwicklern kann man dann ja gerne so einen Exploit zusenden.

Das ist illegal und kann straftrechtlich verfolgt werden. Der Urheber der Software, in der eine Lücke entdeckt wurde, ist immer vorher in Kenntnis zu setzen und bzgl. Veröffentlichung zu fragen..

Wer sagt denn, ob eine entdeckte Sicherheitslücke wirklich mit einem bestimmten Produkt zusammenhängt? Oft gibt es Wechselwirkungen, wie auch bei dem Bug mit den riesigen Images. Schuld ist hier wohl Windows, der Fx verursacht durchs Anzeigen aber den BlueScreen.

Also so nach dem Motto: "Was der Kunde nicht weiß, macht ihn nicht heiß".

Also alles schön verdeckt halten und eine Informationspolitik betreiben, die den Namen nicht verdient? Sorry, das erinnert mich irgendwie an eine große amerikanische Software-Firma.

Wie war das nochmal? Der große Vorteil von OSS wäre es, dass der Quellcode ja offen sei und so Schwachstellen schnell gefunden werden? Aha.

Ich will mich hier ja nicht nur auf FF einschießen, denn Opera hat das bei den um die fünf Sicherheitslücken, die in 8.00 noch existierten, genauso gemacht. Ich finde das nur einfach blöd, so zu tun, als gäbe es die Lücken nicht. Und meine Frage ist immer noch nicht beantwortet: Wieso gibt es dann überhaupt noch Exploits?

Letztendlich muss man sagen das, das Verhalten von Mozilla insofern gut ist das sie den Kunden schützen.
Microsoft hingegen verbietet das veröffentlichen von Bugs und bietet keine Updates an.
Letztendlich veröffnetlicht irgendwer den Bug und was passiert?
Microsoft steht einen Monat später mit nem Update da.
Doch inzwischen ist ein weitere Bug bekannt :roll:

Mozilla hat eine Sicherheitspolitik definiert und veröffentlicht:
http://www.mozilla.org/projects/secur…ugs-policy.html

Danach wird abgewogen, ob es sinnvoller ist, Verwundbarkeiten zu veröffentlichen (um Benutzern die Möglickeit zu geben, sich durch geeignetes Verhalten zu schützen) oder die Lücke vertraulich zu behandeln (um ein ausnutzen nicht zu provozieren).

Jede andere Vorgehensweise wäre auch unvernünftig.

Alexander

Zitat von Alexxander

Mozilla hat eine Sicherheitspolitik definiert und veröffentlicht:
http://www.mozilla.org/projects/secur…ugs-policy.html

Danach wird abgewogen, ob es sinnvoller ist, Verwundbarkeiten zu veröffentlichen (um Benutzern die Möglickeit zu geben, sich durch geeignetes Verhalten zu schützen) oder die Lücke vertraulich zu behandeln (um ein ausnutzen nicht zu provozieren).

Jede andere Vorgehensweise wäre auch unvernünftig.

Alexander

Ja toll, seit mehr als 48 Stunden liegen die localen Sprachversionen auf dem Server von Mozilla QA "ready for staging", aber Mozilla QA gibts sie noch nicht frei.

Das ist wieder typisch amerikanisch: "unsere" Version FF 1.0.5 en-US ist veröffentlicht, glz. werden die known vulnerabilities bekannt gemacht, und der Rest der Welt darf warten, mittlerweile nun mehr dan 48 Stunden, bis alle artig die Hausaufgaben gemacht haben

Warum werden die funktionierenden Versionen wie z.B. de-De von Abdulkadir Topal (siehe Signatur) nicht freigegeben, sondern wird gewartet, bis alle Übersetzter fertig sind?

Wenn Sicherheitskonzept, dann bitteschön warten, bis auch alle fertig sind, und dann bitte ein "global release", aber nicht egoistisch mit en-US vorpreschen, Sicherheitslücken schliessen, und der Rest der Welt muss sehen wo er bleibt!

Wie ich diese Arroganz hasse an den Amis, Grrrrrrrrrr

Zitat von Amsterdammer

Wie ich diese Arroganz hasse an den Amis, Grrrrrrrrrr

Du scheinst aber echt nicht viel für das Mozilla-Team übrig zu haben. Giftest gegen die bei jeder sich bietenden Gelegenheit... oder kommt mir das nur so vor? ; )