Sicherheitslücke im Firefox Popup-Blocker entdeckt

    Zitat

    Der Sicherheitsexperte Michal Zalewski hat eine Sicherheitslücke im Browser Firefox entdeckt, genauer gesagt im Popup-Blocker. Bisher wurde das Problem nur für die Version 1.5.0.9 bestätigt. Ein Angreifer könnte dadurch auf lokale Dateien zugreifen.

    Normalerweise kann eine Webseite nicht auf lokal gespeicherte Dateien zugreifen, da der Browser den Zugriff auf den Namespace file:// verbietet. Sollte der Anwender ein geblocktes Popup zulassen, aus welchem Grund auch immer, dann ist diese Sicherheitsmaßnahme nicht mehr aktiv und ein Script kann auf lokale Dateien zugreifen. So könnten beispielsweise sensible Informationen ausgespäht werden.

    Hier gefunden: http://winfuture.de/news,29895.html

    Hallo.
    Na ja,das war zu befürchten.Die bösen Buben werkeln nun am Fuchs rum.
    Dann kommt wieder der IE 7,dann Opera,und und und.
    Irgendwann befürchte ich das dann wie bei Microsoft jeden Tag eine Sicherheitslücke auftaucht.
    Aber was soll's ich bleibe trotzdem dem Firefox treu.
    Lothar.

    Die Sprache ist die Quelle aller Missverständnisse.

    Hallo,

    und es geht auch noch "weiter auf der Hühnerleiter" :) , der Phishing-Schutz ist ebenso ausgehebelt worden, wenn ich das:
    http://www.heise.de/security/news/meldung/85003
    richtig interpretiert habe.

    Aber ich denke auch, dass die Mozillas sich schnell was einfallen lassen werden (hoffentlich)!

    Zitat von Lothar Hacker

    ...Aber was soll's ich bleibe trotzdem dem Firefox treu...

    ich auch und Füchse können ganz schön zäh sein und überleben auch so manchen härtesten Dauerbeschuß :lol:

    Gruß knure

    Wenn Du mal einige Stunden aus der Hängematte raus einem Gecko zugeschaut hast kannst du nicht mehr anders. Da kommst Du nicht gegen an. 8)

    Von daher...

    Ich war schon immer der Meinung jeder Haushalt sollte n Gecko haben. Der ist sehr dekorativ, liegt nicht wie anderes Haustiergezeugs im Weg rum oder braucht n Stall, weil man ihn einfach an die Decke oder die Wand kleben kann. Zudem hält er den Luftraum im Haus frei, womit er sich gleichzeitig selbst mit Energie versorgt. Hängt man ihn im Eingangsbereich an die Decke, kann er auch als Alarmanlage oder Vertreterschreck genutzt werden, da er mit seiner Zunge auf Kommando das unerbetene Gesocks aufhängen kann.

    Und das Beste zum Schluss: Es gibt ihn in vielen verschiedenen Versionen mit verschiedenen Formen, Farben, Mustern und in der Deluxe-Version ist das ganze sogar dynamisch anpassbar.

    Zitat von Road-Runner

    Der beste Phishingschutz ist immer noch brain.exe

    Wohl möglich aus einem Email Anhang ^^ ?

    Heaven_69 erwähnte:

    Zitat

    Zitat:
    Der Sicherheitsexperte Michal Zalewski hat eine Sicherheitslücke im Browser Firefox entdeckt, genauer gesagt im Popup-Blocker. Bisher wurde das Problem nur für die Version 1.5.0.9 bestätigt. Ein Angreifer könnte dadurch auf lokale Dateien zugreifen.

    Normalerweise kann eine Webseite nicht auf lokal gespeicherte Dateien zugreifen, da der Browser den Zugriff auf den Namespace file:// verbietet. Sollte der Anwender ein geblocktes Popup zulassen, aus welchem Grund auch immer, dann ist diese Sicherheitsmaßnahme nicht mehr aktiv und ein Script kann auf lokale Dateien zugreifen. So könnten beispielsweise sensible Informationen ausgespäht werden.

    Meiner Meinung nach - Finger weg von JavaScript - es ist absolut unnötig - unsicher - ungewollt und verlangsamt den Transfer - obendrein verbunden mit hausgemachten Sicherheitsrisiken. Es sind nicht wir, die unbedingt JS brauchen - es sind die Webmaster, die sich ständig neue Spielereien ausdenken.

    Interaktive Webseiten sind nicht notwendig. Relevanter Content sollte auch ohne Script-Zuschaltung ersichtlich sein.


    Oliver

    Zitat von Orkan

    Wohl möglich aus einem Email Anhang ^^ ?

    ich denke schon, denn wer mit eMails und deren Anhängen nach der "brain.exe"-Methode vorgeht, kann sicher im Vorhinein einer Vielzahl von Phishern, wenn nicht sogar allen, die Angel direkt an der Rute kappen... :wink:

    Gruß knure

    @Heaven_69
    Vielen Dank für die Info! Keine Panik auf der Titanic!! :)
    Ich stehe dem ziemlich gelassen gegenüber, da ich Firefox 2.0.0.1. fahre; derzeit neueste Browser-Version. :wink:
    Außerdem würde ich allzugern auch mal detailliert von den Redaktionen erfahren, wie man denn per Pop-up-Fenster einen Datenzugriff auf die Festplatte erreicht...? :roll: Per Skript. Schon klar! :wink: Aber, wie denn nun genau? Solange sich das: "würde, könnte, normalerweise nicht..., eventuell, möglicherweise..." liest, wie eben in so manchem Bericht über Sicherheitslücken, lässt mich das, ehrlich gesagt, ziemlich kalt. :lol:

    EDIT
    Eine mögliche Schwachstelle... :roll: Darauf einen Tequila!! :)8):)

    Viele Grüsse von hall77
    Betriebssystem: Linux Mint 64-bit, Desktop Mate

    hall77 wrote:

    Zitat

    Ich stehe dem ziemlich gelassen gegenüber, da ich Firefox 2.0.0.1. fahre; derzeit neueste Browser-Version.


    Das ist genau der Grund, warum Leuten wie Dir nicht zu Helfen ist. (Siehe Dein obiges Zitat - Hoffe Du nimmst mir das nicht übel).
    Hast Du Dir eigentlich schon mal Gedanken darüber gemacht, dass JS vielleicht mehr als nur im Kontext Deines Fx-Browsers läuft?

    JS ist, egal welcher eingesetzte Browser zur Anwendung kommt, ein TSR-Programm und somit für die aktuelle Sitzung im Speicher für alle Anwendungen aktiv und "würde und könnte" nicht, sondern "wird und kann" dort Informationen über Dein Surfverhalten, Deinen User-Agent - bzw. u.U. das Auslesen Deiner Zwischenablage anstossen - je nachdem auf welcher script-gesteuerten Webseite Du Dich gerade befindest - abgesehen von eventuellen lokalen Chrome Context-Flaws durch JS.

    JavaScript findet nicht nur im eingesetzten Browser statt.

    Aber sei Dir mal sicher - Du hast ja jetzt den neuen FF 2.0 - was kann Dir denn da noch passieren...


    Oliver

    Zitat von Oliver222

    hall77 wrote:

    Hast Du Dir eigentlich schon mal Gedanken darüber gemacht, dass JS vielleicht mehr als nur im Kontext Deines Fx-Browsers läuft?

    JS ist, egal welcher eingesetzte Browser zur Anwendung kommt, ein TSR-Programm

    Wie kommst du den auf den schmalen Pfad.
    TSR erklärt von wiki?


    Das Problem bei JS ist, das es volle Rechte(Zugriff auf Dateien, ....) hast wenn das Script von deinem lokalem Dateisystem(auch Netzlaufwerke) gestartet wird. Zumindest im Firefox. Andere Browser händeln das anders. Und hoffentlich auch der Fx bald ......

    Oliver222
    Es gibt gar nichts was ich Dir übel nehmen könnte! Im Gegenteil: Danke für die Aufklärung!! :)
    Als Laie und aus Sicht eines Praktikers möchte ich anmerken, dass ich während meines ganzen Internetlebens noch nie irgendwelche Sicherheitsprobleme hatte. Weder Virus, Trojaner, modifizierte oder gar gestohlene Dateien wegen eines gefährlichen Skripts etc.
    Auch verfüge ich nicht über das Hintergrundwissen geschulter Leute; wenngleich mich mein gesunder Menschenverstand vor vielem bewahrt hat. :wink:

    Schöne Grüsse, hall77

    Viele Grüsse von hall77
    Betriebssystem: Linux Mint 64-bit, Desktop Mate

    Orkan fragte:

    Zitat

    Wie kommst du den auf den schmalen Pfad.


    Das Problem liegt nicht beim FF selber - auch er muss sich den Spezifikationen des JS -Interpreters, bezüglich Syntax (Document Objekt Model) unterwerfen wie alle anderen Browser auch.

    Das Problem mit JS liegt meiner Ansicht immer noch darin, dass diese Script-Sprache noch nicht zur Genüge ausdefiniert wurde - oder anders ausgedrückt - es gibt immer noch genug Spielraum für bewusste oder unbewussste Fehler in der Programmierung, die letztendlich immer zu Lasten des Users gehen können - egal welcher Browser zum Einsatz kommt.

    Reden wir über JS, so verlassen wir nach meiner Ansicht das isolierte Thema des FF´s und erheben uns eher in einen globaleren Bereich der allgemeingültigen Script-Sprachen, die mit Einschränkungen für alle Systeme gelten.

    Oliver