71 potenzielle Sicherheitslücken entdeckt

  • Fairerweise müßte das Analysetool doch vergleichsweise mal auf den Quelltext des IE7 losgelassen werden - so man an den drankommt... ;)

    On Topic: Das ist genau der Grund für Quelloffenheit.

    Aloha, Uli

    Seit 102.0 wieder mit dem jeweils neuesten 64bit-Fx von tete009 unterwegs.

  • Software enthält nunmal Fehler. Wenn wir schonmal dabei sind: Auf "Klocwork" trifft das genauso zu. Warum sollte die Auswertung stimmen?

    Es gibt keine Auszeichnung für möglichst viel freien Arbeitsspeicher!

  • War auch nicht negativ gemeint. Ich kann durchaus damit leben, wenn der Browser den ich Nutze konstruktiv kritisiert wird, bzw. (kritische) Fehler aufgezeigt werden :)

    War nur eine Feststellung + persönliche Erfahrungen mit diverser Analysesoftware. Zweifellos ist es positiv, dass die Fehler an Moz gemeldet wurden (auch wenn mit Sicherheit ein nicht zu unterschätzender Teil Eigenwerbung dahintersteckt - aber egal, das Ergebnis zählt!).

    Es gibt keine Auszeichnung für möglichst viel freien Arbeitsspeicher!

  • Ich glaueb nicht, dass ein solches Analysetool wirklich zuverlässig Sicherheitslücken erkennen kann, schon garnicht bei so komplexer Software.

    Dennoch ist es sicherlich sinnvoll, mal so eine Software zu benutzen, vielleicht trifft man ja wirklich auf den einen oder anderen wirklichen Bug (von denen es sowieso ne ganze Menge gibt, man lese nur mal bei Bugzilla mit)...

  • Naja, solche Programme sind schon sehr mächtig. Und was die Bemängeln gehört sicherlich verbessert. Aber es sind "potentielle Sicherheitslücken", was noch lange nichts darüber aussagt, ob man sie überhaupt für Angriffe ausnutzen kann.

    Und Microsoft wird seine Produkte sicherlich auch mit solchen Programmen überprüfen, nur veröffentlichen die die Ergebnisse nie.

  • Also ich freu mir nen Keks :D Ergebnise an Mozilla-Team übergeben und sonst nicht veroffentlicht.
    Jetzt wird erstmal aussortiert und was wahr ist am laufenden Band behoben ;)

    Probieren geht über Studieren

  • Keine Ahnung was son Tool alles kann, aber wenn das in der Lage ist zu analysieren, wo z.B. Buffer Overflows durch fehlerhafte Speicherzuordnung sein könnten, dann finden sich dabei sicherlich ein paar Sicherheitslücken. Sowas ist bei C ja quasi der Standardfehler den die Programmierer immer mal wieder produzieren und ebenso die Standardursache für Sicherheitslöcher. Und ich will nicht wissen was eine so komplexe Software wie ein Betriebssystem alles an Speicherlöschern hat. Dabei ist es im übrigen egal welches Betriebssystem man in die Mangel nimmt. ; )

  • Insgesamt ne schöne Sache, bedeutet zwar ne Menge Arbeit für die Quellcodekenner den Warnungen nach zu gehen aber vielleicht fließt ja noch ein wenig in Fx2 ein, ......

  • Die Firefoxentwickler sehens gelassen, zumal die meisten Ergebnisse schon vorher über eigene Untersuchungen bekannt waren. Bedauert wird, das die Analyse für FF 1.5.0.6 gemacht wurde und nicht für 2.0b2 or a trunk build

    "Krieg ist ein zu ernstes Geschäft, als daß man ihn den Generälen überlassen dürfte." Georges B. Clemenceau (1841-1929), Französischer Journalist und Politiker/Ministerpäsident

  • Amsterdammer
    Warum? Hat 1.5 etwa EndOfSupport erreicht?

    Wenn die meisten (?!) Fehler bereits bekannt sind, dann frag ich mich was die da die ganze Zeit machen. An 3 Versionen gleichzeitig rumschrauben scheint sich nicht wirklich auszuzahlen.

    Und wenn sie, wie behauptet, mit ihren Methoden genauso effizient sind, dann sollen sie es beim 2.0b2 halt selbst machen. Irgendwie erzählen sie in der letzten Zeit nur dummes Zeug.

    Probieren geht über Studieren

  • Zitat von BeeHaa

    Amsterdammer
    Warum? Hat 1.5 etwa EndOfSupport erreicht?

    Wenn die meisten (?!) Fehler bereits bekannt sind, dann frag ich mich was die da die ganze Zeit machen. An 3 Versionen gleichzeitig rumschrauben scheint sich nicht wirklich auszuzahlen.

    Und wenn sie, wie behauptet, mit ihren Methoden genauso effizient sind, dann sollen sie es beim 2.0b2 halt selbst machen. Irgendwie erzählen sie in der letzten Zeit nur dummes Zeug.

    Das eine Tool findet die Fehler ein zweites Tool findet andere Fehler, es sollte wohl in der Natur der Sache liegen das dort eine gewisse Schnittmenge existiert die von beiden Tools gefunden wird.

    Mozilla üblich werden große Änderungen(und die sind manchmal nötig) erst im Trunk getestet bevor sie im wenn überhaupt möglich in den Branch(1.5) aufgenommen werden.

    Manche Patches werden aus Kompatibiliätsgründen auch gar nicht auf den Branch zurückportiert. Weil die Extension- und Webseitenprogrammierer sonst gar nicht mehr mitkommen würden, das liegt nunmal in der Natur der Sache :(

    Da man ja nun den 1.5.0.6 mit dem Tool getestet hat, werden nun genau die Warnungen aus der Quellcode-Analyse den Jungs Arbeit machen die vorher schon von coverity gefunden wurden (insbesondere die die auf dem Trunk bzw. 1.8.1 Branch schon behoben sind)

    Bugs mit Keyword: "coverty"; und Status Resolution: Fixed
    Bugs mit Keyword: "coverty und fixed1.8.1"; und Status Resolution: Fixed

    Hoffe das macht die Sache etwas klarer.

    Edit: Achso und Fehler die in neuem Code enthalten sind der erst nach 1.5.0.x dazukam hat das Tool natürlich auch nicht gefunden ;)

  • Was kommt eigentlich dabei heraus, wenn so ein Analysetool seinen eigenen Quellcode analysiert. Ob es wohl Fehler findet? :shock:
    Da es bekanntlich keine fehlerfreie Software gibt, müßte es das ja. Andererseits, wenn es fehlerhaft ist... :lol:

    Firefox 58 b4 64bit unter Win 10 1709 Home

  • Zitat von Jan0815

    Was kommt eigentlich dabei heraus, wenn so ein Analysetool seinen eigenen Quellcode analysiert. Ob es wohl Fehler findet? :shock:
    Da es bekanntlich keine fehlerfreie Software gibt, müßte es das ja. Andererseits, wenn es fehlerhaft ist... :lol:

    Logisch das es auch im eigenen Quellcode Fehler finden kann. Aber ebend keine Logikfehler oder halt nur begrenzt.
    Zb. sollte dir solch ein Tool eine Warnung auswerfen wenn du irgendwo im Quellcode sowas stehen hast:
    if (variable == true && variable == false)
    Afaik wirft hier schon ein guter Compiler eine Warnung, Unreachable Code oder etwas in der Art.

  • Zitat von Nizzer

    Ist das nicht ein bisschen .... zuviel?


    Liest man das Fazit der Studie:
    "Overall it is clear that Firefox is a very well written and high quality piece of software."
    Nein.
    Quelle: g2zero

    Komisch, daß die Kernaussage bei solchen Meldungen so oft unterschlagen wird.

  • Zitat von Tuvok


    Liest man das Fazit der Studie:
    "Overall it is clear that Firefox is a very well written and high quality piece of software."


    Mal ne ketzerische Frage: wenn Firefox' Quellcode so sauber geschrieben ist, wo kommen die Speicherlecks her?

    Quis custodit custodes?