Fehler in Firefox behoben?

    NightHawk56:
    vielen Dank für die schnelle und umfassende Information.

    Ich habe es mal getestet und wie Du auch schon geschrieben hast, scheint der Fehler auch noch nicht behoben zu sein.

    Ich habe mich aber auch Deiner Bemerkungen erinnert, weiß derzeit nicht mehr wo sich das Posting befindet, daß eine automatische Weiterleitung durch den FF nicht das "gelbe vom Ei" ist.

    Ist eigentlich diese Maßnahme:

    Zitat

    Alternativ lässt sich der Aufruf von Mail-Programm durch Firefox abstellen, indem man network.protocol-handler.external.mailto auf false setzt.

    der richtige Weg?
    Vielen Dank nochmal, eine schönen Tag noch und

    Gruß knure

    Hi knure,

    Zitat von knure

    Ich habe mich aber auch Deiner Bemerkungen erinnert, weiß derzeit nicht mehr wo sich das Posting befindet, daß eine automatische Weiterleitung durch den FF nicht das "gelbe vom Ei" ist.

    Ich kann mich nicht erinnern, in welchem Zusammenhang ich das gesagt haben soll.

    Zitat von knure

    Ist eigentlich diese Maßnahme:

    der richtige Weg?

    Ich habe es selbst noch nicht ausprobiert, aber wie dzweitausen ja schon schrieb

    Zitat von <woltlab-metacode-marker data-name=

    dzweitausend (Link) " data-link="">

    Dann wird man jedesmal gewarnt wenn man einen mailto link anclickt
    und kann spätestens beim 2ten "mailto-popup" durch cancel/abbrechen diesen Bug verhindern.
    Dadurch beendet man dieses Problem!

    ist das zumindest ein mögliches workaround (Link), bis der Bug tatsächlich gefixt ist.

    Have fun,
    NightHawk

    Wo ist jetzt der Zusammenhang von JavaScript und Mailto?

    Das beweißt doch höchstens, dass JavaScript nicht an allen Lücken schuld ist?

    Der genannte Exploit, der das per JavaScript macht, ist nicht die einzige Möglichkeit - statt per JavaScript hundert mailto-Bilder zu erzeugen, können auch direkt hundert Bilder mit mailto-Adresse im Code stehen ;)

    NightHawk56:

    Zitat

    knure:Ich habe mich aber auch Deiner Bemerkungen erinnert, weiß derzeit nicht mehr wo sich das Posting befindet, daß eine automatische Weiterleitung durch den FF nicht das "gelbe vom Ei" ist....Ich kann mich nicht erinnern, in welchem Zusammenhang ich das gesagt haben soll.

    Entschuldige, ich wollte Dir nichts falsches "unterjubeln" :lol: , da habe ich mich wohl vertan, denn ich meinte die Bemerkungen von RoadRunner in diesem Beitrag: http://www.firefox-browser.de/forum/viewtopi…p=259175#259175

    Gruß knure

    Dr. Evil schrieb:

    Zitat

    Wo ist jetzt der Zusammenhang von JavaScript und Mailto?

    Das beweißt doch höchstens, dass JavaScript nicht an allen Lücken schuld ist?

    Der genannte Exploit, der das per JavaScript macht, ist nicht die einzige Möglichkeit - statt per JavaScript hundert mailto-Bilder zu erzeugen, können auch direkt hundert Bilder mit mailto-Adresse im Code stehen

    MailTo wird durch JS eingeleitet, so einfach ist das.

    lerne ja gerne noch von Dir.
    kenne, nach meinem bescheidenem Wissen, bisher nur HTML-Tags, die so ähnlich klingen wie:

    "<a href="mailto:alpha@webmaster-inside.net?
    [...]</a>"

    meinst Du vielleicht die Perl oder CGI-Anweisungen? (Für Mail-Formulare?)

    der Fox hat ja eigentlich mit dem ganzen JS-Mist nicht viel am Hut, dennoch, wenn er stolpert, reicht ein bloßes "Workaround" auf Dauer leider nicht aus.

    lass mal hören, was Du meinst, würde mich freuen,...,

    Edit: Subject,Body :)


    Oliver

    Die "Lücke" ist ja, dass über Bilder das Mail-Programm gestartet werden kann. Also bei sowas wie:

    Code
    <img src="somebody@example.com" />

    Das JavaScript erzeugt jetzt 100 solcher Bilder. Es wäre aber auch kein Problem, diesen Code stattdessen hundertmal per Copy & Paste in eine HTML-Seite einzufügen und das selbe so gänzlich ohne JavaScript zu erledigen.

    Zitat von pcinfarkt


    Die Lücke ist noch nicht behoben. Das bewußte Exploit kann diese Schwäche nach wie vor ausnutzen. Getestet habe ich mit den en-US Nightly-Builds Fx 1.5.0.4:

    RC2/RC3: Build ID: 2006050817
    akt. Nightly: Build ID: 2006052205

    Ist es jetzt ein kritischer Bug?
    und ist es überhaupt nun ein "echter" exploit?

    hm keine ahnung glaub der bug kann ja in jeden webbrowser reporduziert werden unter umständen und deshalb wird der wohl nicht so kritisch eingestuft werden bzw so schnell evtl. behoben werden, da ja nicht gefährlich ist, sondern nur ein script fehler.
    MfG Carsten

    Zitat von dzweitausend

    Ist es jetzt ein kritischer Bug?
    und ist es überhaupt nun ein "echter" exploit?


    Aus meiner Sicht: unkritisch. Meine Sicht ist jedoch nicht maßgebend :wink: ! Und ich dachte, die Frage des TO in meinen Beitrag mit erwähnt zu haben. Da ging es wohl nicht um die Gefährdungsstufe.

    Zitat von dzweitausend

    ...denn Security Center denken sich gerne Exploits aus die im alltäglich Gebrauch ungefährlich sind.
    Schliesslich brauchen die arbeit. ...


    Kann ich nicht beurteilen. Bin kein Security Center - Insider. Müsste ich mutmaßen und das tue ich nicht gern :wink: ! Vllt. hast Du mit der Einschätzung dieser INet - Präsenz Recht?! Hatte mit der Frage mglw. auch nichts zu tun!

    Hi,
    sagen wir mal so wenn KFZ Mechaniker Keilriemen anrietzen beim normalen Kundendienst,
    in Mercedes Werkvertrag Autohäusern und das als "normal" einen beigebracht wird in der einer KFZ Mech. Lehre in diesen besagten KFZ Häusern,
    damit dann genau dieser beim Kundendienst ausgewechselt werden kann um 20€ mehr zu verdenen,
    wie ein Bekannter der dort arbeitet mir sagte.

    Dann ist es auch normal das Sicherheitsexperten dafür sorgen das Sie immer Arbeit haben indem Sie Exploits schaffen
    und diese dann mit großen Brimbamborium "entdecken" und bekannt geben.
    Wie auch Sie meistens sich anbiedern für Security Beratungsverträgen mit
    1000000 Kleingedruckten Vertragsklausen für die Software Hersteller in den der Exploit gefunden wurde.

    Wer jetzt erwartet das ich Quellen veröffentliche,
    dazu sage ich nur ich habe bereits jetzt wieder vergessen was ich gerade geschrieben habe
    und bin jetzt genau gerade nicht mehr zurechnungsfähig durch heutigen Hopfenteekonsum ;)
    dabei auf dem Weg zum Bad auf einer Seife ausgerutscht und habe alles vergessen
    durch diesen harten Schlag aufs Hirn beim hin fallen über die Seife.......
    :twisted:

    Zitat von dzweitausend


    sagen wir mal so wenn KFZ Mechaniker Keilriemen anrietzen beim normalen Kundendienst,
    in Mercedes Werkvertrag Autohäusern und das als "normal" einen beigebracht wird in der einer KFZ Mech. Lehre in diesen besagten KFZ Häusern,
    damit dann genau dieser beim Kundendienst ausgewechselt werden kann um 20€ mehr zu verdenen,
    wie ein Bekannter der dort arbeitet mir sagte.


    So richtig klar wird mir nicht, was Du sagen willst und was das alles mit der Threadfrage zu tun hat! Willst Du vllt. auch noch erzählen, warum best. Firmen gelbe od. rote Kartons verkaufen (können)? :D Ich denke, das ist OT!

    Lass gut sein. Ich habe Dir doch in meinen Beiträgen ausserhalb der Theadantwort mit allem Recht gegeben! :wink:

    Carsten schrieb:

    Zitat

    Ist es jetzt ein kritischer Bug?
    und ist es überhaupt nun ein "echtes" exploit?

    hm keine ahnung, glaube der bug kann ja in jeden webbrowser reproduziert werden unter umständen und deshalb wird der wohl nicht so kritisch eingestuft werden, bzw so schnell evtl. behoben werden, da ja nicht gefährlich ist, sondern nur ein script fehler.
    MfG Carsten

    ...und genau dort liegt die Illusion, der sich manche User des FF´s hingeben. Dort, wo ein Browser durch manipulierte Scripte in die Knie gezwungen werden kann, ist definitiv Handlungbedarf angesagt. Wenn es auch nur in einem von hundert FF-Systemen zu einem Absturz durch "Buffer-Overflow" und anschließender Code-Einschleusung kommen kann, ist der FF auch nicht besser als seine "Freunde".

    Es existieren jetzt schon Scripte im I-Net, die genau auf dieser "Lücke" aufbauen.


    Oliver

    Zitat von Oliver222


    ...und genau dort liegt die Illusion, der sich manche User des FF´s hingeben. Dort, wo ein Browser durch manipulierte Scripte in die Knie gezwungen werden kann, ist definitiv Handlungbedarf angesagt. Wenn es auch nur in einem von hundert FF-Systemen zu einem Absturz durch "Buffer-Overflow" und anschließender Code-Einschleusung kommen kann, ist der FF auch nicht besser als seine "Freunde".

    Es existieren jetzt schon Scripte im I-Net, die genau auf dieser "Lücke" aufbauen.


    Oliver

    Es ist aber eben durch den besagten Bug nicht möglich "Code" einzuschleusen oder eben einen "buffer overflow" zu erzeugen, das einzigste was passiert ist eben das x-mal versucht wird ein vorhandenes mailprogramm zu starten was zur folge haben könnte das ein System was schwache hardware hat dann abstürzt.
    Die vorhandenen Exploits die exestieren sind alles "Demo-Exploits" und bei keinen mir bekannten haben es welche geschaft oben besagtes auszuführen.

    Es gibt da viel gefährlichere Exploits z.b. für Javascript die in jeden Browser funktionieren die Javascript aktiv haben. Teilweise über 3 Jahre bekannt unter sogenannten "phishing attacken" trotzdem wurden diese nicht gefixt weder im opera, firefox oder ie.

    Deshalb ja auch meine rehtorische Frage ob dieser "ungefährliche" Bug nun wirklich ein Exploit ist oder wieder nur hochgekochte geldmacherrei der Security "Experten" und Medien.

    MfG Carsten