Sicherheitslücke im FF durch -moz-binding?

38

Hallo,

bei Heise ist gerade ein Artikel {(www.heise.de) Mozilla und Firefox geben sensible Informationen preis} erschienen.
Hierin geht es um eine Sicherheitslücke im FF durch CSS und XSS.
Wie kritisch ist denn die ganze Sache?[/url]

bugcatcher

Tot gefährlich. Du solltest Firefox nichtmehr benutzen. Ne ernsthaft.

Ich erachte es als moderat, sollte auch schnell gefixt werden. Aber solange es keiner ausnutzt, isses mir egal.

Mal sehen wie die offiziellen sich dazu äussern.

38

Hach, verdammt... und ich hatte mich gerade so an das Fellnäuel gewöhnt. Nur gut das MS gerade das supertolle Beta rausgebracht haben. Da kann ich ja gleich umsteigen... hust *röchel*

Ne, ernsthaft. Wollen wir mal abwarten.
Warum werden viele Lücken eigentlich (obwohl bekannt) erst dann gestopft wenn es einen Exploit gibt?

bugcatcher

Weil der Exploid der Beweis für die Lücke ist.

38

Mhh, ja, okay, ich korrigiere mich:

Streiche:Warum werden viele Lücken eigentlich (obwohl bekannt) erst dann gestopft wenn es einen Exploit gibt?

Setze: Warum werden viele Lücken eigentlich (obwohl bekannt) erst dann gestopft wenn der Exploit ausgenutzt wird?

Hoshpak

Das Lücken entstehen lässt sich leider nicht verhindern, was mich an der Sache stört ist, dass der Firefox hier schon wieder von Standard abweicht, wenn das so weitergeht landen wir irgendwann da, wo der IE jetzt ist. In dem Artikel steht auch was von wegen Einschleusung von Javascript-code, wird der auch ausgeführt, wenn noscript das verbietet? Ansonsten wäre man ja damit vor der Lücke sicher.

Dr. Evil

Zitat von Hoshpak

was mich an der Sache stört ist, dass der Firefox hier schon wieder von Standard abweicht

Das wurde einfach für XUL gebraucht. Ohne XBL wäre da sehr vieles sehr viel mühsamer und umständlicher. Ob das für HTML und nicht (wie z.B. -moz-box-ordinal-group) nur für XUL unterstützt werden sollte, darüber lässt sich natürlich streiten.

bugcatcher

Was mich grundsätzlich wundert ist, dass man im style-attribut ÜBERHAUPT javascript ausführen kann. Aber das ist wohl ähnlich wie mit den ganzen bufferoverflow-problemen. irgendwie pennen die progger bei sowas immer.

Dr. Evil

Wie gesagt: ham se für XUL gebraucht.... (Autocomplete ist da ein gutes Beispiel. Wenn jedes Eingabefeld, dass Autocomplete verwenden soll, so ein blödes Script bräuchte, dann würde es wohl kaum z.B. in den Einstellungen beim Festlegen der Startseite verwendet.)

bugcatcher

ja, ich versteh das mit dem besonderen spezial-befehlen die für xul und co gebraucht werden... aber javascript in einem style-bereich?

Code

<div style="background:url('javascript:alert(document.cookie)')">

aber vermutlich hab ich den bug-thread einfach nit kapiert. dafür bin ich mit der materie nicht so sehr vertraut. irgendwie fehlt mir eh das tiefere backgroundwissen.

JonHa

Firefox führt so ein Javascript natürlich nicht aus. Ich meine, es geht bei Bugzilla darum, dass der Firefox bei sowas nicht abstützt (was er ja auch nicht tut).

Orkan

Gibt den hierzu einen Bug in Bugzilla?

bugcatcher

Hast den Heise-Artikel nicht gelesen, was? Am Ende ist der Bug im Bugzilla verlinkt ; )

Orkan

Zitat von bugcatcher

Hast den Heise-Artikel nicht gelesen, was? Am Ende ist der Bug im Bugzilla verlinkt ; )

Danke.
Hier noch einmal für alle die nicht erst Heise anklicken wollen
https://bugzilla.mozilla.org/show_bug.cgi?id=324253

wupperbayer

Mal ab von der Sicherheitslücke und deswegen leicht OT: Die Kommentare im Heise-Forum werden immer besser :roll: Die Rotklickwut der Feuerfuchsjünger aber auch :roll: ² Scheint irgendwie auf Trolle magische Kräfte auszuüben, das Heise-Forum. Aber wem erzähle ich das eigentlich?

Lendo

Heise is wirklich drollig, oder trollig. Aber dumme Leute findet man überall. Golem, Winfuture... gibts eigentlich sowas, wo keine Trolle oder Idioten sind? Wohl nicht.

Pseiko

Och, ich find die Heise Kommentare immer ganz amüsant.

Mein bisheriger Favorit aus dem Fx-Artikel:

Zitat von Lucky MSN Butterfly

Schlecht bleibt schlecht. Vor allem, wenn etwas frei verfügbar und
kostenlos ist. Da zahle ich lieber Geld und bekomme dafür Software,
die brauchbar ist. Frickelfox, das Sorgenkind der
Open-Sauce-Gemeinde, beweist dies wieder.

Der ist auch nicht schlecht:

Zitat

ich trau mich gar nicht mehr meinen firefox zu benutzen. hab
stattdessen erst mal wieder den sicheren IE im einsatz

Mal ne kleine Aufgabe für Leute mit extremer Langeweile:
Zählt mal das Wort "bewährten" im zusammenhang mit "Weltmarktführer". Langsam kommt es mir echt vor, als würden Leute für Heise-Kommentare bezahlt

Einen hab ich noch:

Zitat

Ganz meine Meinung. Mein Vorbild Ronald Reagan hätte sich niemals auf
Frickelkram verlassen, sondern seine Software für den Erhalt der
westlichen Kultur Microsoft überlassen. Der Zugang zu korrekt
dargestellter Information wird durch IE-Imitate gefährdet und sollte
dem Ostblock überlassen bleiben. Schlimm genug, dass AMD jetzt in der
DDR fertigen lässt.

tombik

Zitat

Mein Vorbild Ronald Reagan

Ach, von IE benutzen kriegt man Alzheimer?

Dr. Evil

um mal zum Thema zurückzukommen: Ich glaube, dass dieser Eintrag in der userContent.css (NICHT in Stylish!) Abhilfe schafft:

CSS

* {
    -moz-binding: none !important;
}
textarea {
    -moz-binding: url(chrome://global/content/platformHTMLBindings.xml#textAreas) !important;
}
input {
    -moz-binding: url(chrome://global/content/platformHTMLBindings.xml#inputFields) !important;
}

Ich habe zugegebenermaßen nicht allzuviel Zeit darüber nachgedacht, aber er sollte funktionieren.