FF 3.0.8 kann man downloaden.
Kritische Sicherheitslücke in Firefox bei XML Dateien
-
Heaven_69 -
26. März 2009 um 12:40 -
Erledigt
-
-
XML erweitert nur die Horizonte des bisherigen HTML-Protokolls. XML könnte daher (wie HTML auch) als eine "Gefährdung" allenfalls bloss lokal auf die Scriptprotokolle des zugrundeliegenden OS (z.B. WSH / Windows) selber zugreifen, sofern solche Scriptverfügung im OS nicht gesperrt - bzw. über ACL-Listen eingeschränkt wurden.
Heaven_69 zitierte Folgendes:
Zitat[...]Der Sicherheitsexperte Guido Landi hat vor Kurzem eine kritische Sicherheitslücke im Internet-Browser Firefox entdeckt. Diese ermöglicht einem Angreifer, beliebige Software auf dem Rechner des Opfers zu installieren.[...]
Diese Nachricht ist - meiner Ansicht nach - sehr pauschal ausgestaltet und darüberhinaus kausal sehr weit vorausgegriffen. Zwischen A und Z liegen Zwischenstufen. Web-Service spezifische Angriffe (XML) können sich - nach meinen bisherigen Informationen - gestalten w.F.:a. Ungeprüfter "Vice-Versa-Austausch" (Server-Client) vertraulicher WSDL-Daten. Eine nicht schreibgeschützte URI könnte somit innerhalb eines XML-Dokumentes "extern" dabei insoweit manipuliert werden, dass dieses nicht autorisierten Nutzern dennoch lokal zugänglich werden würde. (Externe Manipulation der Datenintegrität).
b. Das XML-Dokument wird ungeprüft und fehlerhaft über den Browser geparst. (XML > Memory > XML DOM Object < JavaScript). Für diese Fehleranfälligkeit gilt JavaScript als Voraussetzung. (i.B. auf obige Pressemitteilung).
Der FF hat - meiner Ansicht nach - dabei kein grösseres Sicherheitsproblem als andere Browser auch. Mit zunehmenden e-Commerce und wachsender Nutzer-Gemeinde steht der Firefox jedoch fast schon in der "Verantwortung" solche pauschalen "Sicherheitslücken" zu veröffentlichen, um seine Neuzugänge zu "beschwichtigen".
It´s never personal - it´s all ´bout politics...
Oliver
http://de.wikipedia.org/wiki/Web_Servi…iption_Language
http://de.wikipedia.org/wiki/Uniform_Resource_Identifier -