Sicherheitslücke im FF durch -moz-binding?

  • Tot gefährlich. Du solltest Firefox nichtmehr benutzen. Ne ernsthaft.

    Ich erachte es als moderat, sollte auch schnell gefixt werden. Aber solange es keiner ausnutzt, isses mir egal.

    Mal sehen wie die offiziellen sich dazu äussern.

  • Hach, verdammt... und ich hatte mich gerade so an das Fellnäuel gewöhnt. Nur gut das MS gerade das supertolle Beta rausgebracht haben. Da kann ich ja gleich umsteigen... hust *röchel* :)

    Ne, ernsthaft. Wollen wir mal abwarten.
    Warum werden viele Lücken eigentlich (obwohl bekannt) erst dann gestopft wenn es einen Exploit gibt?

    "Gib mir die Gelassenheit zu akzeptieren was ich nicht ändern kann, den Mut zu ändern was ich nicht akzeptieren kann und die Weisheit beides zu unterscheiden."
    -unbekannt-

  • Mhh, ja, okay, ich korrigiere mich:

    Streiche:Warum werden viele Lücken eigentlich (obwohl bekannt) erst dann gestopft wenn es einen Exploit gibt?

    Setze: Warum werden viele Lücken eigentlich (obwohl bekannt) erst dann gestopft wenn der Exploit ausgenutzt wird?

    "Gib mir die Gelassenheit zu akzeptieren was ich nicht ändern kann, den Mut zu ändern was ich nicht akzeptieren kann und die Weisheit beides zu unterscheiden."
    -unbekannt-

  • Das Lücken entstehen lässt sich leider nicht verhindern, was mich an der Sache stört ist, dass der Firefox hier schon wieder von Standard abweicht, wenn das so weitergeht landen wir irgendwann da, wo der IE jetzt ist. In dem Artikel steht auch was von wegen Einschleusung von Javascript-code, wird der auch ausgeführt, wenn noscript das verbietet? Ansonsten wäre man ja damit vor der Lücke sicher.

  • Zitat von Hoshpak

    was mich an der Sache stört ist, dass der Firefox hier schon wieder von Standard abweicht


    Das wurde einfach für XUL gebraucht. Ohne XBL wäre da sehr vieles sehr viel mühsamer und umständlicher. Ob das für HTML und nicht (wie z.B. -moz-box-ordinal-group) nur für XUL unterstützt werden sollte, darüber lässt sich natürlich streiten.

  • Was mich grundsätzlich wundert ist, dass man im style-attribut ÜBERHAUPT javascript ausführen kann. Aber das ist wohl ähnlich wie mit den ganzen bufferoverflow-problemen. irgendwie pennen die progger bei sowas immer.

  • ja, ich versteh das mit dem besonderen spezial-befehlen die für xul und co gebraucht werden... aber javascript in einem style-bereich?

    Code
    <div style="background:url('javascript:alert(document.cookie)')">


    aber vermutlich hab ich den bug-thread einfach nit kapiert. dafür bin ich mit der materie nicht so sehr vertraut. irgendwie fehlt mir eh das tiefere backgroundwissen.

  • Mal ab von der Sicherheitslücke und deswegen leicht OT: Die Kommentare im Heise-Forum werden immer besser :roll: Die Rotklickwut der Feuerfuchsjünger aber auch :roll: ² Scheint irgendwie auf Trolle magische Kräfte auszuüben, das Heise-Forum. Aber wem erzähle ich das eigentlich? ;)

    Quis custodit custodes?

  • Och, ich find die Heise Kommentare immer ganz amüsant.

    Mein bisheriger Favorit aus dem Fx-Artikel:

    Zitat von Lucky MSN Butterfly

    Schlecht bleibt schlecht. Vor allem, wenn etwas frei verfügbar und
    kostenlos ist. Da zahle ich lieber Geld und bekomme dafür Software,
    die brauchbar ist. Frickelfox, das Sorgenkind der
    Open-Sauce-Gemeinde, beweist dies wieder.

    Der ist auch nicht schlecht:

    Zitat

    ich trau mich gar nicht mehr meinen firefox zu benutzen. hab
    stattdessen erst mal wieder den sicheren IE im einsatz

    Mal ne kleine Aufgabe für Leute mit extremer Langeweile:
    Zählt mal das Wort "bewährten" im zusammenhang mit "Weltmarktführer". Langsam kommt es mir echt vor, als würden Leute für Heise-Kommentare bezahlt :)

    Einen hab ich noch:

    Zitat

    Ganz meine Meinung. Mein Vorbild Ronald Reagan hätte sich niemals auf
    Frickelkram verlassen, sondern seine Software für den Erhalt der
    westlichen Kultur Microsoft überlassen. Der Zugang zu korrekt
    dargestellter Information wird durch IE-Imitate gefährdet und sollte
    dem Ostblock überlassen bleiben. Schlimm genug, dass AMD jetzt in der
    DDR fertigen lässt.

    Es gibt keine Auszeichnung für möglichst viel freien Arbeitsspeicher!

  • um mal zum Thema zurückzukommen: Ich glaube, dass dieser Eintrag in der userContent.css (NICHT in Stylish!) Abhilfe schafft:

    CSS
    * {
        -moz-binding: none !important;
    }
    textarea {
        -moz-binding: url(chrome://global/content/platformHTMLBindings.xml#textAreas) !important;
    }
    input {
        -moz-binding: url(chrome://global/content/platformHTMLBindings.xml#inputFields) !important;
    }

    Ich habe zugegebenermaßen nicht allzuviel Zeit darüber nachgedacht, aber er sollte funktionieren.