Hallo zusammen,
habe einen interessanten Artikel zum Thema Firefox 3.5 gefunden, wo (natürlich) auch wieder Adobe und ActiveX als übliche Verdächtige in puncto Sicherheitsleck Erwähnung finden: http://www.info-point-security.com/loesung...en-schuleq.html
Wollte mir just gestern die Version runterziehen, denke aber, dass ich - trotz "sicherem" Surfverhalten - noch mal ne Runde warte - dauert ja zumeist nicht lang, bis solche "Kinderkrankeiten" (insbesondere wenn publiziert) auskuriert werden.
greetz
der dredg
Seite 1 von 1
Ff 3.5 - Sicherheitslücken
Anzeige
#2
geschrieben 15. Juli 2009 - 13:01
Siehe auch hier
http://www.heise.de/newsticker/Erster-Zero.../meldung/141976
Auf deiner verlinkten Seite ist allerdings ein Fehler, denn das ActiveX betrifft NICHT den Firefox (einfach mal dem Link folgen), denn der kann das gar nicht.
Species!
http://www.heise.de/newsticker/Erster-Zero.../meldung/141976
Auf deiner verlinkten Seite ist allerdings ein Fehler, denn das ActiveX betrifft NICHT den Firefox (einfach mal dem Link folgen), denn der kann das gar nicht.
Species!
#3
geschrieben 15. Juli 2009 - 13:25
https://bugzilla.moz...g.cgi?id=503286
Als Ergänzung zu species Aussage ist das keine Zero Day Lücke, wie man an dem Bug-Report sehen kann. Das Fehler wurde am 09.07. gemeldet und ist in den aktuellen Builds bereits behoben.
Leider müssen wir bis zur Version 3.5.1 mit dieser Lücke leben.
Als Ergänzung zu species Aussage ist das keine Zero Day Lücke, wie man an dem Bug-Report sehen kann. Das Fehler wurde am 09.07. gemeldet und ist in den aktuellen Builds bereits behoben.
Leider müssen wir bis zur Version 3.5.1 mit dieser Lücke leben.
#4
geschrieben 15. Juli 2009 - 15:08
Zitat (Witi: 15.07.2009, 14:25)
Leider müssen wir bis zur Version 3.5.1 mit dieser Lücke leben.
Und mit dieser: http://www.golem.de/0907/68371.html
#5
geschrieben 15. Juli 2009 - 15:21
Ist das nicht der selbe Bug?
Zumindest lese ich das im ersten Satz:
http://blog.mozilla.com/security/2009/07/1...-in-firefox-35/
Zumindest lese ich das im ersten Satz:
http://blog.mozilla.com/security/2009/07/1...-in-firefox-35/
#6
geschrieben 15. Juli 2009 - 15:31
Zitat (Witi: 15.07.2009, 16:21)
Ist das nicht der selbe Bug?
Zumindest lese ich das im ersten Satz:
http://blog.mozilla.com/security/2009/07/1...-in-firefox-35/
Zumindest lese ich das im ersten Satz:
http://blog.mozilla.com/security/2009/07/1...-in-firefox-35/
M.E. Nein. Es geht dort um den JIT-JavaScript-Compiler.
Der erste betifft das:
The vulnerability is caused due to an error when processing JavaScript code handling e.g. "font" HTML tags and can be exploited to cause a memory corruption.
Aber auch sonst ist 3.5 nicht gerade lobenswert:
http://www.heise.de/newsticker/Ueberlange-.../meldung/141961
#7
geschrieben 15. Juli 2009 - 15:40
Ja, aber darum geht es doch auch in #2 und #3.
Den Link den dredgfan gepostet hat, zeigt allerdings eine Lücke im Adobes Flash-Plugin. Der ist quasi browserübergreifend und hat nichts mit dem Fx zu tun.
Allerdings. Was hat ein Browser zum Teufel in einem Cache-Verzeichnis eines anderen Browers zu suchen?
Den Link den dredgfan gepostet hat, zeigt allerdings eine Lücke im Adobes Flash-Plugin. Der ist quasi browserübergreifend und hat nichts mit dem Fx zu tun.
Zitat
Aber auch sonst ist 3.5 nicht gerade lobenswert:
Allerdings. Was hat ein Browser zum Teufel in einem Cache-Verzeichnis eines anderen Browers zu suchen?
#8
geschrieben 15. Juli 2009 - 15:50
Zitat (Witi: 15.07.2009, 16:40)
Ja, aber darum geht es doch auch in #2 und #3.
Verwirrend.
Bei heise steht:
Da der Exploit zur Verteilung des Codes im Speicher des PC Heap Spraying mit JavaScript benutzt, kann man als Notbehelf JavaScript deaktivieren.
Bei Golem:
Laut Mozilla lässt sich der Angriff abschwächen, wenn die Just-in-Time-Komponente der JavaScript-Engine abgeschaltet wird. Dazu gibt der Anwender in die Adresszeile about:config ein und gibt im Filter anschließend JIT ein. Nach einem Doppelklick auf die Zeile javascript.options.jit.content wechselt der Wert auf "false", womit einem Angriff zumindest temporär vorgebeugt werden kann.
Damit wäre ja Javascript nicht deaktiviert, sondern nur der JIT-JavaScript-Compiler.
Zitat
Allerdings. Was hat ein Browser zum Teufel in einem Cache-Verzeichnis eines anderen Browers zu suchen?
Das wissen nur die Entwickler in ihrer unendlichen Weisheit^^. Man fragt sich nur, was in der langen Beta-Phase getestet wurde.
#9
geschrieben 15. Juli 2009 - 15:57
Golem hat den Artikel an Hand des offiziellen Mozilla Eintrags aufgebaut, die selbst schreiben, dass das Deaktivieren des JTIs ausreicht. Heises Artikel war allerdings bereits vorher da. Dass jedoch beide Lösungen zum Ziel führen liegt auf der Hand.
#10
geschrieben 15. Juli 2009 - 16:03
Gut, Danke für die Klärung. Hoffen wir nur, daß Mozilla diesen und auch den Bug mit dem langsamen Start bald behebt.
#11
geschrieben 20. Juli 2009 - 12:23
Ist der von Euch benannte Bug derselbe wie dieser hier: http://www.tecchannel.de/sicherheit/news/2...n_firefox_351/?? Oder noch ein anderer, der Java nutzt?
Und das mit dem lahmen Start ist echt ätzend ... da wart ich lieber noch n Ründchen, bevor ich ihn mir draufzieh ...
Beste Grüße
dredg
Und das mit dem lahmen Start ist echt ätzend ... da wart ich lieber noch n Ründchen, bevor ich ihn mir draufzieh ...
Beste Grüße
dredg
#12
geschrieben 20. Juli 2009 - 13:24
@dredgfan
Das sind zwei unterschiedliche Lücken. Die o.g. Lücke wurde in Fx 3.5.1 gefixt.
Der langsame Start wurde in Fx 3.5.1 ebenfalls gefixt:
http://www.mozilla.c...1/releasenotes/
https://bugzilla.mozilla.org/buglist.cgi?ke...verified1.9.1.1
Das sind zwei unterschiedliche Lücken. Die o.g. Lücke wurde in Fx 3.5.1 gefixt.
Der langsame Start wurde in Fx 3.5.1 ebenfalls gefixt:
Zitat
Firefox 3.5.1 fixes the following issues:
...
An issue that was making Firefox take a long time to load on some Windows systems.
...
An issue that was making Firefox take a long time to load on some Windows systems.
http://www.mozilla.c...1/releasenotes/
https://bugzilla.mozilla.org/buglist.cgi?ke...verified1.9.1.1
Dieser Beitrag wurde von Tiggz bearbeitet: 20. Juli 2009 - 13:31
Thema verteilen:
Seite 1 von 1