ZitatMitte Juni war die lang ersehnte dritte Version des Open-Source Browsers Firefox endlich fertig. Knapp 10 Millionen Mal wurde der Platzhirsch von Mozilla am Tag der Veröffentlichung heruntergeladen. Ein Ergebnis, mit dem die Mozilla Cooperation äußerst zufrieden war. Allerdings wurde die angeheiterte Stimmung schon wenige Tage nach dem offiziellen Release getrübt. Die drei entdeckten gefährlichen Programmfehler konnten mit dem Firefox 3.0.1 Update behoben werden. Nun ist es einer Gruppe von IT-Sicherheitsexperten gelungen, eine weitere kritische Lücke ausfindig zu machen. Ein Angreifer könnte damit eine DoS-Attacke (Denial of Service) in Richtung des Browser-Benutzers senden.
Der beliebte Browser unter Beschuss
-
Heaven_69 -
31. Juli 2008 um 14:46 -
Erledigt
-
-
Ich würde nichts drum geben was die Seite "gulli.com" da schreibt,
denn diese gehört selber nur zur einer ganz harten Szene.. :wink: -
http://secunia.com/product/19089/?task=statistics_2008
Ich vertraue da mal Secunia. Und die sagen derzeit 0% ungepatchte Sicherheitslücken.
-
Zitat
Radware bietet für solch brisante Fälle eine eigene Sicherheitsdienstleistung an. Mit dem Radware Security Update Service (SUS) lässt sich das Problem kurzer Hand beheben und es soll danach keine weitere Gefahr mehr für den Verbraucher bestehen.
Ein Schelm, wer arges dabei denkt... :twisted:
Finden eine Sicherheitslücke und bieten prompt eine kommerzielle Lösung an. -
-
Mich ärgerts, das die "Profis", die sowas entdecken damit an die
Öffentlichkeit gehen, anstatt den Hersteller zu kontaktieren, der Abhilfe schaffen kann.
Dann kann man immer noch die Früchte ernten. -
Zitat von Boersenfeger
Mich ärgerts, das die "Profis", die sowas entdecken damit an die
Öffentlichkeit gehen, anstatt den Hersteller zu kontaktieren, der Abhilfe schaffen kann.
Firefox ist Open Source, wenn du da einen Bug entdeckst und ihn dem "Hersteller" lieferst erfährts immer auch der Rest der Welt. -
Zitat von DasIch
Firefox ist Open Source, wenn du da einen Bug entdeckst und ihn dem "Hersteller" lieferst erfährts immer auch der Rest der Welt.
Falsch. Sicherheitskritische Bugs werden entsprechend geflaggt, so dass nur ausgewählte Personen diese einsehen können. Diese Flags werden entweder erst nach x Tagen nach einem Firefox Update mit dem jeweils enthaltenden Bugfix entfernt oder nachdem das Sicherheitsproblem öffentlich wurde (z.B. mittels Exploit).
Des weiteren lese man http://weblogs.mozillazine.org/asa/archives/2…re_wants_t.html.
-
Womit mal wieder bestätigt wäre das nicht so heiß gegessen wird wie es gekocht wird.
Ich bleibe bei der Sicherheitseinschätzung von Secunia, die haben solche Sperenzchen nicht nötig.
Mozilla Firefox 3.0.1:
Affected By 3 Secunia advisories
Unpatched 0% (0 of 3 Secunia advisories)
Most Critical Unpatched
There are no unpatched Secunia advisories affecting this product, when all vendor patches are applied.Microsoft Internet Explorer 7:
Affected By 29 Secunia advisories
Unpatched 34% (10 of 29 Secunia advisories)
Most Critical Unpatched
The most severe unpatched Secunia advisory affecting Microsoft Internet Explorer 7.x, with all vendor patches applied, is rated Moderately criticalOpera 9.5:
Affected By 16 Secunia advisories
Unpatched 0% (0 of 16 Secunia advisories)
Most Critical Unpatched
There are no unpatched Secunia advisories affecting this product, when all vendor patches are applied.Kann sich jeder gerne auf Secunia selber nachlesen. Wobei der Vergleich zwischen Firefox, Opera und dem IE ein wenig hinkt. Letzterer ist schon deutlich länger auf dem Markt. Vergleiche kann man wirklich erst anstellen wenn Opera 9.x und Firefox 3.0.x ähnlich lange auf dem Martk sind wie derzeit IE7, bis dahin dürfte sicher noch so manche Sicherheitslücke entdeckt werden.
-
Das ist ne DOS-Schwachstelle. Klar klingt das für den Laien ernsthaft, aber letztlich schmiert dir halt der Browser ab. Mehr nicht.
Vor ein paar Tagen hatten wir doch den Thread mit den rekursiven Frames. Das ist auch DOS - auf dem Niveau bewegen die sich damit.
Zu Secunia:
Die führen auch nur das in ihrer Statistik, das ihnen gemeldet wurde bzw. zu dem sie eine Meldung rausgeben. Das erhebt keinen Anspruch auf Vollständigkeit. -
Sicher ist Secunia nicht vollständig, aber zumindest in Bezug auf öffentlich bekannte Sicherheitslücken. Wäre ja schlimm wenn jede extrem kritische Sicherheitslücke in der Öffentlichkeit bekannt wäre bevor sie gepatcht ist.
-
Zitat von Simon1983
Kann sich jeder gerne auf Secunia selber nachlesen. Wobei der Vergleich zwischen Firefox, Opera und dem IE ein wenig hinkt. Letzterer ist schon deutlich länger auf dem Markt. Vergleiche kann man wirklich erst anstellen wenn Opera 9.x und Firefox 3.0.x ähnlich lange auf dem Martk sind wie derzeit IE7, bis dahin dürfte sicher noch so manche Sicherheitslücke entdeckt werden.
Falsch. Die Statistik für Opera gilt seit dem Release von 9.00, und das war vier Monate vor dem Release von IE 7. -
boardraider stellte Folgendes dar:
ZitatDas ist `ne DOS-Schwachstelle. Klar klingt das für den Laien ernsthaft, aber letztlich schmiert dir halt der Browser ab. Mehr nicht.
Da sei Dir mal nicht ganz so sicher [...] Die sog. "Null Pointer Dereference" (Verweisung auf "Abwesenheit" von Daten (=Null)) könnte den FF - meiner Meinung nach - zwar ohne weitere Konsequenzen zum kontrollierten Absturz bringen - doch was passiert mit all den integrierten FF-Erweiterungen - u.A. auch auf Basis der immer noch vorhandenen IE-Verfügungen, bzw. der "Schnittstellen", die der FF zum IE hingegen verlängern muss?Simon1983 schrieb:
Zitat[...]Womit mal wieder bestätigt wäre, dass nicht(s) so heiß gegessen wird, wie es gekocht wird.
Im professionellen Einsatz, einer wie auch immer gearteten Software, sollte bereits schon das Rezept vor dem Verwerten sehr genau beobachtet werden, da Du sonst u.U. "durch Dritte" manipulierbar wärest...https://bugzilla.mozilla.org/show_bug.cgi?id=358797
Oliver