WinFuture-Forum.de: Kritische Sicherheitslücke In Firefox Entdeckt! - WinFuture-Forum.de

Zum Inhalt wechseln

Beiträge in diesem Forum erhöhen euren Beitragszähler nicht.
Seite 1 von 1

Kritische Sicherheitslücke In Firefox Entdeckt! auch die v1.0.6 und 1.5 Beta 1 betroffen


#1 Mitglied ist offline   swissboy 

  • Gruppe: aktive Mitglieder
  • Beiträge: 1.299
  • Beigetreten: 29. Dezember 04
  • Reputation: 2
  • Wohnort:127.0.0.1

  geschrieben 09. September 2005 - 14:49

Kritische Sicherheitslücke in Firefox entdeckt!

Zitat

Der Sicherheitsexperte Tom Ferris warnt in einem Security Advisory vor einer neuen Anfälligkeit in Firefox. Angreifer können relativ einfach einen Pufferüberlauf in dem Browser erzeugen. Sie müssen dazu nur eine Website entsprechend manipulieren. Laut Tom Ferris liegt das Problem in der Verarbeitung von langen Links, die Bindestriche enthalten. Betroffen seien Firefox 1.0.6 und alle früheren Versionen. Auch die eben veröffentlichte Beta-Version 1.5 soll den Fehler aufweisen. Einen Patch gibt es noch nicht. Tom Ferris hat aber nach eigenen Angaben die Firefox-Entwickler über das Leck informiert.

Quelle PC-Tipp


UPDATE:
Bei heise online ist inzwischen auch eine News dazu erschienen.


UPDATE 2:
Es gibt inzwischen auch eine WinFuture-News zu diesem Thema:
http://www.winfuture...news,22240.html

Dieser Beitrag wurde von swissboy bearbeitet: 09. September 2005 - 15:47

0

Anzeige



#2 Mitglied ist offline   Hauner 

  • Gruppe: aktive Mitglieder
  • Beiträge: 2.297
  • Beigetreten: 03. Januar 05
  • Reputation: 0
  • Geschlecht:Männlich

geschrieben 09. September 2005 - 15:02

News ist in Arbeit. :)
0

#3 _misteranwa_

  • Gruppe: Gäste

geschrieben 10. September 2005 - 13:29

Hallo ;)

Habe mir das Update jetzt gedownloaded, aber wo muss ich die Datei hin kopieren? ;D
0

#4 Mitglied ist offline   Hauner 

  • Gruppe: aktive Mitglieder
  • Beiträge: 2.297
  • Beigetreten: 03. Januar 05
  • Reputation: 0
  • Geschlecht:Männlich

geschrieben 10. September 2005 - 13:37

Das ist eine Erweiterung. Wenn du sie über den Firefox herunterlädst/installierst, müsste das automatisch geschehen.
Klicken; zwei Sekunden warten; auf "Jetzt installieren" klicken; kurz warten; Firefox neu starten.

Dieser Beitrag wurde von Hauner bearbeitet: 10. September 2005 - 13:38

0

#5 Mitglied ist offline   Ferax 

  • Gruppe: aktive Mitglieder
  • Beiträge: 2.296
  • Beigetreten: 26. Mai 04
  • Reputation: 0
  • Wohnort:Nähe Marburg
  • Interessen:Fitness (Kraftsport), Tennis, Party ohne Ende, Sonne relaxen, PC usw ;).

geschrieben 10. September 2005 - 15:27

aber das manuelle ausstellen bewirkt das gleiche ? Ziemlich simpel und was genau verlier ich durch diese Funktion? Werden mir nun lange Links nicht mehr angezeigt oder wie kann ich das verstehen ?
0

#6 Mitglied ist offline   swissboy 

  • Gruppe: aktive Mitglieder
  • Beiträge: 1.299
  • Beigetreten: 29. Dezember 04
  • Reputation: 2
  • Wohnort:127.0.0.1

geschrieben 10. September 2005 - 21:20

Zitat (Sp!ke_324: 10.09.2005, 16:27)

aber das manuelle ausstellen bewirkt das gleiche ? Ziemlich simpel und was genau verlier ich durch diese Funktion? Werden mir nun lange Links nicht mehr angezeigt oder wie kann ich das verstehen ?
<{POST_SNAPBACK}>

Der Workaround zum abschalten der internationaler Domain-Namen (IDN) Unterstützung (dazu muss man in der Adresszeile von Firefox about:config einzugeben und dann die Option network.enableIDN auf false zu setzen) und der breitgestellte Patch welcher genau das gleiche macht, schalten die IDN-Unterstützung komplett aus. Somit kannst du keine URL's mehr verwenden die z.B. ein ß, ä, ö oder ü in ihrem Domain-Namen haben. Mehr Infos zu IDNA gibt es hier auf Wikipedia.
Das Sicherheitsrisiko ist zwar damit behoben, aber man hat eben keine IDN-Unterstützung mehr. Dies ist somit nur eine temporäre Lösung und es ist zu erwarten dass das eigentliche Problem noch behoben werden wird, so dass die IDN-Unterstützung wieder gefahrlos verwendet werden kann.

Dieser Beitrag wurde von swissboy bearbeitet: 10. September 2005 - 21:29

0

#7 Mitglied ist offline   Großer 

  • Gruppe: aktive Mitglieder
  • Beiträge: 3.930
  • Beigetreten: 15. Juni 04
  • Reputation: 0

geschrieben 12. September 2005 - 00:48

In der aktuellen Nightly wurde der Fehler bereits behoben.
0

#8 Mitglied ist offline   swissboy 

  • Gruppe: aktive Mitglieder
  • Beiträge: 1.299
  • Beigetreten: 29. Dezember 04
  • Reputation: 2
  • Wohnort:127.0.0.1

geschrieben 12. September 2005 - 00:59

Zitat (Großer: 12.09.2005, 01:48)

In der aktuellen Nightly wurde der Fehler bereits behoben.<{POST_SNAPBACK}>

Dann dürfte es ja wohl nicht mehr allzu lange gehen bis die offizielle deutschsprachige Firefox v1.5 Beta 1 erscheint. :(
0

#9 Mitglied ist offline   Großer 

  • Gruppe: aktive Mitglieder
  • Beiträge: 3.930
  • Beigetreten: 15. Juni 04
  • Reputation: 0

geschrieben 12. September 2005 - 01:03

Zitat (swissboy: 12.09.2005, 01:59)

Dann dürfte es ja wohl nicht mehr allzu lange gehen bis die offizielle deutschsprachige Firefox v1.5 Beta 1 erscheint.  :(
<{POST_SNAPBACK}>

Woher wusste ich nur, das ein Kommentar von Dir folgt...
Du solltest nur Nightly´s nicht immer so negativ sehen, damit ist man immer auf dem neusten Stand. Und ich nutzte die Nightly´s schon seit Version 0.9 - bisher immer ohne Probleme. :ph34r:
0

#10 Mitglied ist offline   swissboy 

  • Gruppe: aktive Mitglieder
  • Beiträge: 1.299
  • Beigetreten: 29. Dezember 04
  • Reputation: 2
  • Wohnort:127.0.0.1

  geschrieben 14. September 2005 - 20:34

Hacker arbeiten an Exploit für Firefox-Bug

Zitat

Sicherheitsspezialisten haben eigenen Aussagen zufolge innerhalb weniger Stunden Wege gefunden, um eine Sicherheitslücke im "Firefox"-Browser auszunutzen. Die Schwachstelle erlaubt einem Angreifer, ohne das Wissen des Anwenders bösartigen Code auf dessen Rechner auszuführen. Sie wurde von dem Experten Tom Ferris entdeckt und auf seiner Web-Seite "Security Protocols" in einem Advisory beschrieben. Es geht um die Art und Weise, wie der Browser International Domain Names (IDNs) verarbeitet, die aus dem Sonderzeichen "-" bestehen. Die Mozilla Foundation hat bereits reagiert und einen Patch bereitgestellt der die IDN-Funktionalität ausschaltet.

Einen der Exploits hat der niederländische Informatikstudent Berend-Jan Wever in einem Beitrag für die Mailing-Liste "Full Disclosure" entwickelt. Er kommentierte seinen Erfolg: "Wenn ich es schaffe, kann es ein Hacker auch."

Quelle COMPUTERWOCHE.de
0

Thema verteilen:


Seite 1 von 1

1 Besucher lesen dieses Thema
Mitglieder: 0, Gäste: 1, unsichtbare Mitglieder: 0