Exploit für Firefox 1.5.0.3 bestätigt

Diskutiere Exploit für Firefox 1.5.0.3 bestätigt im IT-News Forum im Bereich IT-News; Eine Schwachstelle in Firefox kann ausgenutzt werden. Bereits kurz nach der Bereitstellung der neuen Firefox-Version 1.5.0.3, die eine...
#1
Eric-Cartman

Eric-Cartman

Moderator
Team
Dabei seit
22.06.2005
Beiträge
8.628
Alter
37
Ort
In Windows Nr. 10


Eine Schwachstelle in Firefox kann ausgenutzt werden.

Bereits kurz nach der Bereitstellung der neuen Firefox-Version 1.5.0.3, die eine Sicherheitslücke schließt, wurde eine neue Anfäligkeit gemeldet. Diese soll auch die neue Firefox-Version betreffen, konnte jedoch zunächst nicht nachvollzogen werden. Nun hat das Internet Storm Center ( ISC ) bestätigt, dass eine solche Schwachstelle existiert.

Der in der Vorwoche als Nachweis vorgeschlagene Exploit schien nicht oder nur unter bestimmten Umständen zu funktionieren. Inzwischen hat das ISC einen anderen Exploit erhalten, der nachvollziehbar klappt. Dabei werden mittels Javascript in einer Web-Seite viele "mailto:"-Links erzeugt. Diese stecken in IMG-Tags, also in HTML-Anweisungen, die eigentlich Bilder laden sollten.

Beim Aufruf einer solchen Seite werden die vermeintlichen Bilder geladen, was zum Öffnen zahlloser Mail-Fenster führen kann. Dadurch kann der Rechner soweit ausgelastet werden, dass er nicht mehr auf Benutzeraktionen reagiert oder gar abstürzt. Das kann im Einzelfall auch davon abhängen, welches Mail-Programm in Firefox als für mailto-Links zuständig eingetragen ist.

Als Workaround, also als Abhilfe gegen die Ausnutzung dieser Schwachstelle, kommen verschiedene Maßnahmen in Betracht. Sie können etwa Javascript komplett abschalten. Das hilft gegen viele Sicherheitslücken, führt jedoch zu Einschränkungen bei der Nutzung diverser Websites. Eine Alternative bietet die Firefox-Erweiterung " Noscript ", die Javascript nur auf bestimmten Seiten zulässt, die Sie selbst festlegen.

Sie können auch eine Warnung beim Aufruf von mailto-Links aktivieren. Dazu müssen Sie in der Adresszeile von Firefox "about:config" eintragen und aufrufen. Sie erhalten nun Zugriff auf eine Vielzhl von Konfigurationsoptionen, die nicht über "Extras, Einstellungen" erreichbar sind. Benutzen Sie das Eingabefeld "Filter" am oberen Rand und geben Sie dort "warn-external.mailto" ein. Als einzige Option bleibt dann "network.protocol-handler.warn-external.mailto" stehen, der Wert steht standardmäßig auf "false". Durch Anklicken mit der rechten Maustaste und Auswählen von "Umschalten" setzen Sie ihn auf "true".

Nun werden Sie beim Anklicken eines Mail-Links auf einer Web-Seite jedesmal gefragt, ob Sie den Aufruf des Mail-Programms erlauben wollen. Das führt bei dem oben genannten Exploit zwar dazu, dass Sie ziemlich viele solcher Bestätigungsdialoge erhalten. Es werden jedoch keine Mail-Fenster geöffnet und der Rechner bleibt benutzbar.

Noch radikaler ist die Maßnahme, mailto-Links gänzlich abzuschalten. Dazu geben Sie im Filterfeld bei about:config "external.mailto" ein. Sie erhalten die Option "network.protocol-handler.external.mailto", die Sie wie oben von "false" auf "true" umschalten. Ab dann passiert beim Anklicken eines mailto-Links gar nichts mehr.

Beide Optionen können Sie auf die gleiche Weise auch wieder zurück setzen.

Quelle: IDG Magazine Verlag GmbH/PC-WELT Online
 
#2
P

Paule

Dabei seit
18.10.2005
Beiträge
518
dann gibts hoffentlich bald nen Fix
 
#3
K

Kampfwurst

Dabei seit
30.04.2006
Beiträge
53
Alter
31
habs mal per about:config auf false gestellt, da ich sowas eh nie benutze ist es keine große einschränkung :deal
 
#4
Fireblade

Fireblade

Grüßt die Winboarder
Dabei seit
10.12.2004
Beiträge
19.623
ZITAT Bereits kurz nach der Bereitstellung der neuen Firefox-Version 1.5.0.3, die eine Sicherheitslücke schließt, wurde eine neue Anfäligkeit gemeldet. Diese soll auch die neue Firefox-Version betreffen, konnte jedoch zunächst nicht nachvollzogen werden. Nun hat das Internet Storm Center ( ISC ) bestätigt, dass eine solche Schwachstelle existiert. [/b]
Der FF ist auch nicht mehr das was er mal war,eigentlich schade drum.So langsam geht der wohl auch vor die Hunde oder. :blink
 
#5
K

Kev!n

Dabei seit
12.09.2005
Beiträge
47
ZITAT Der FF ist auch nicht mehr das was er mal war,eigentlich schade drum.So langsam geht der wohl auch vor die Hunde oder. blink.gif
[/b]
Das sehe ich nicht ganz so. Aber es ist natürlich klar, dass FF ein immer interessanteres Angriffsziel für Hacker ist, wenn mehr Leute FF nutzen. Und ich bin sicher, dass jeder Browser, (bei dem JavaScripts aktiviert sind), ein potentielles Ziel ist. Es gibt sicherlich auch noch viele Lücken im IE, bei FF, bei Opera, bei Safari... es ist halt immer so ein Spiel Sicherheit gegen Funktionen.
 
#6
Fraenk0901

Fraenk0901

Dabei seit
28.04.2005
Beiträge
598
Alter
63
ZITAT(Kev!n @ 13.05.2006, 00:27) Quoted post
Das sehe ich nicht ganz so. Aber es ist natürlich klar, dass FF ein immer interessanteres Angriffsziel für Hacker ist, wenn mehr Leute FF nutzen. Und ich bin sicher, dass jeder Browser, (bei dem JavaScripts aktiviert sind), ein potentielles Ziel ist. Es gibt sicherlich auch noch viele Lücken im IE, bei FF, bei Opera, bei Safari... es ist halt immer so ein Spiel Sicherheit gegen Funktionen.
[/b]
Ich sehe das ähnlich wie du @Kev!n. Vielleicht sollten sich die Entwickler des Fx etwas mehr Zeit nehmen und die neue Version ausgiebiger testen, bis man sie veröffentlicht. Auf der anderen Seite muss man sagen, das kriminelle Gehirn tickt halt anders als das der Entwickler und Tester.
Eine hunderprozentige Sicherheit wird es ohnehin nicht geben. :verysad
 
#7
Transe

Transe

BANNED
Dabei seit
27.08.2005
Beiträge
376
Alter
110
Ich glaube das es mit FF genauso schlimm ist wie mit den IE. Leider.....! Man kann aber FF sicher machen. mailto z.B. einfach deaktivieren in dem man dieses script blockt.
 
#8
K

Kampfwurst

Dabei seit
30.04.2006
Beiträge
53
Alter
31
würde nicht sagen das man den fuchs mit dem IE vergleichen kann, als gleich unsicher.
vor kurzem war doch der hackerangriff auf winboard, allerdings waren nur IE nutzer betroffen von der schadsoftware.

mit dem IE den ich vor ewigkeiten noch genutzt hatte, gabs öfters probleme mit sicherheitslecks.
seit firefox bei mir standard ist, nie probleme.

leute die denken opera sei das beste in sachen sicherheit, weit gefehlt.
alles was von menschen programmiert ist, hat fehler.
fehler können von abstürtzte bis sicherheitslecks weitreichen.

also macht den fuchs jetzt nicht runder, weil ein was jetzt bekannt ist!
mozilla kümmert sich recht schnell um sowas siehe 1.5.0.3
 
#9
T

Tikonteroga

Dabei seit
23.05.2005
Beiträge
1.969
Hallo,

also ich bin schon länger der Meinung, das der Firefox rein technisch (Ausnahme: Active X) nicht sicherer ist, als der Internet Explorer. Dass im Internet Explorer mehr Sicherheitslücken gefunden werden, hängt meiner Meinung nach mit der sehr viel höheren Verbreitung des Internet Explorers zusammen.

Ich benutze den Internet Explorer gerade deshalb, weil mehr Sicherheitslücken gefunden werden. Denn nur wenn eine Sicherheitslücke gefunden wird, kann ein Sicherheitsupdate veröffentlicht werden, welches den Fehler behebt. Bei einem Beta-Test ist es ja auch besser, wenn man mehrere Tester hat, die die Software unter vielen verschiedenen Bedingungen und in verschiedenen Umgebungen testen können. Die warscheinlichkeit, dass das eine hohe Qualität erreicht ist dann warscheinlicher. Klar in der Zeit zwischen dem Finden und dem Beheben der Sicherheitslücke bin ich gefährdet, aber in der Regel bin ich über die Sicherheitslücke informiert und sie durch mein Surfverhalten umgehen. Ausserdem surfe ich unter einem eingeschränkten Konto und deshalb spielen viele Sicherheitslücken für mich gar keine Rolle.

Ich würde auch niemals ausschließen, dass der Hacker, der Winboard gehackt hat, genau so gut User mit dem Firefox hätte infizieren können, wenn er das hätte wollen.

Gruß

Tikonteroga
 
#10
Creeping Death

Creeping Death

Dabei seit
04.06.2005
Beiträge
819
Ort
Badnerland
Mit der Verbreitung eines Browsers wächst eben auch die Zahl der gefundenen Bugs.

Dass die Zeiten einmal vorüber sein werden, in welchen der Firefox dem IE in Punkto "Sicherheit im Netz" haushoch überlegen ist, wird ja schon lange prophezeit.
Ich benutze jetzt schon seit Jahren die Kombination Firefox+Thunderbird. Allerdings war für mich nie die Sicherheit das entscheidende Argument, sondern die Bedienung und Konfigurierbarkeit (und nicht zu vergessen: MozBackup).
 
#11
MountWalker

MountWalker

Dabei seit
16.07.2004
Beiträge
308
ZITAT(Tikonteroga @ 13.05.2006, 10:56) Quoted post
.... Ausserdem surfe ich unter einem eingeschränkten Konto und deshalb spielen viele Sicherheitslücken für mich gar keine Rolle....
[/b]
Genau das ist ein folgenschwerer Trugschluss, denn DDoS-, Spam- oder Kinderporno-Server brauchen nie und nirgends Adminrechte um sich zu installieren. Sie begnügen sich vollständig mit dem Rechtebreich des angemeldeten Nutzers, der Zugang zum Internet hat, weil sie mehr nicht brauchen. Und sie werden dir auch niemals ein Zeichen geben, dass sie existieren, weil sie ja nicht wollen, dass du auf deren Straftaten im Namen deiner IP-Addresse (Webserver mit Anfragen von unzähligen infizierten Clients überlasten, Spam oder Kinderpornografie versenden) aufmerksam wirst.

Und ganz nebenbei kann Malware ohne Adminrechte zuweilen auch alle Dateien löschen, auf die dein eingeschränktes Konto Zugriff hat. Deswegen ist es so wichtig, dass der IE auf Vista in einem Käfig läuft und aus ihm eheraus auf nichts als auf "Temporary Internet Files" zugegriffen werden kann oder dass Suse jetzt in (Open)Suse Linux 10.1 AppArmor eingeführt hat, mit dem man jede Anwendung in einen solchen Käfig sperren kann. :deal
 
#12
Creeping Death

Creeping Death

Dabei seit
04.06.2005
Beiträge
819
Ort
Badnerland
@MountWalker

Der Kollege hat geschrieben:
ZITAT(Tikonteroga @ 13.05.2006, 10:56) Quoted post... deshalb spielen viele Sicherheitslücken für mich gar keine Rolle.
[/b]
Er hat nicht gesagt "...deshalb spielen Sicherheitslücken für mich keine Rolle".

Das ist zwar ein feiner, aber trotzdem entscheidender Unterschied.
 
#13
MountWalker

MountWalker

Dabei seit
16.07.2004
Beiträge
308
Nein, ist es in dem Fall nicht, weil eine JavaScript-Lücke zum Einschleusen von Code eben die selbe Lücke ist, aber trotzdem sowohl Admin-Malware, als auch Ohne-Admin-Malware erlaubt.
 
#14
Creeping Death

Creeping Death

Dabei seit
04.06.2005
Beiträge
819
Ort
Badnerland
Die Rede war von Sicherheitslücken (plural - noch so ein "feiner" Unterschied). Daher bezog ich diese Aussage auf Sicherheitslücken allgemein und nicht nur auf diese eine.
Da ich aber nicht Tikonterogas Anwalt bin :deal , kann er das ja (falls es in seinem Sinne ist) selbst aufklären.
 
#15
T

Tikonteroga

Dabei seit
23.05.2005
Beiträge
1.969
ZITAT(MountWalker @ 13.05.2006, 16:16) Quoted post
Nein, ist es in dem Fall nicht, weil eine JavaScript-Lücke zum Einschleusen von Code eben die selbe Lücke ist, aber trotzdem sowohl Admin-Malware, als auch Ohne-Admin-Malware erlaubt.
[/b]
Hallo

Es ist schon klar, dass einen ein eingeschränktes Konto nicht vor allem Schützt. Das habe ich ja auch nicht behauptet. Aber der Schaden, der entstehen kann ist um einiges geringer als unter einem Konto, das Mitglied der Benutzergruppe der Administratoren ist. Im schlimmsten Fall muss ich das kompromitierte Konto löschen, ein neues erstellen und ein Backup von meinen Nutzdaten einspielen... Unter einem Konto, das Mitglied der Benutzergruppe der Administratoren ist, muss man im schlimmsten Fall das gesammte System neu aufsetzen und es können die Daten mehrerer Konten verloren gehen. Davon, dass sämtliche Sicherheitssoftware veräppelt bzw. ausgetrickst werden kann ganz zu schweigen...

Malware, Explolits oder schadhafter Code, die in den Verzeichnissen "Windows" und "Programme" rumpfuschen, spielen unter einem eingeschränkten Konto keine Rolle, es sei den der entsprechende Benutzer ist, warum auch immer, der Besitzer von Dateien bzw. Unterverzeichnissen dieser Verzeichnisse...

Gruß

Tikonteroga

@Creeping Death: Danke für die Verteidigung. :danke
 
#16
MountWalker

MountWalker

Dabei seit
16.07.2004
Beiträge
308
ZITAT(Creeping Death @ 13.05.2006, 16:45) Quoted post
Die Rede war von Sicherheitslücken (plural - noch so ein "feiner" Unterschied). ...
[/b]
Es ist völlig wurscht, was für eine Sicherheitslücke du nimmst, kann eine Sicherheitslücke Code einschleusen, dann kann sie Code einschleusen, völlig wurscht ob auf ein Admin-Konto oder auf ein User-Konto. Was ist denn jetzt daran so irre schwer zu verstehen?

ZITAT(Tikonteroga @ 13.05.2006, 17:55) Quoted post
... Im schlimmsten Fall muss ich das kompromitierte Konto löschen, ein neues erstellen und ein Backup von meinen Nutzdaten einspielen... ...
[/b]
Nein, im schlimmsten Fall landest du wegen Verbreitung von Kinderpornografie vor Gericht und musst händeringend nach Beweisen suchen, dass du an der Installation des Kinderpornoservers auf deinem Userkonto, keine Mitschuld trägst.
 
#18
T

Tobias28

Dabei seit
21.09.2005
Beiträge
853
Ich will euch ja nicht die Laune verderben, aber es geht hier (wie meistens beim FF) primaer um eine Sicherheitsluecke, die offenbar max. einen DoS hervorruft.
Ein Vergleich der Sicherheitsluecken von IE mit FF ist daher fuer mich ein Vergleich von Aepfeln mit Birnen...
Und: Ich glaube nicht, dass es aehnlich leicht waere saemtliche FF Benutzer uebers Board zu infizieren wie das bei den unbelehrbaren IE Anhaengern der Fall war...
 
#19
Creeping Death

Creeping Death

Dabei seit
04.06.2005
Beiträge
819
Ort
Badnerland
Ich denke nicht, dass hier Äpfel mit Birnen verglichen werden. Schau Dir doch mal die Mozilla Foundation Security Advisories an. Bereits der zweite Eintrag von oben (vom 21.04.2006) beschreibt einen Bug, welcher es dem Angreifer erlaubt beliebigen Code auszuführen.

Versteh mich bitte nicht falsch, ich möchte den Firefox nicht schlecht machen (bin ja selbst User), aber ich ärgere mich immer, wenn dieser Browser als der große Geniestreich im Kampf gegen die "Computermafia" hingestellt wird.

Der Internetexplorer ist hauptsächlich deswegen so gefährdet, weil er mit rund 90% Marktanteil weltweit das mit Abstand beste Ziel abgibt.
 
#20
K

Kampfwurst

Dabei seit
30.04.2006
Beiträge
53
Alter
31
wenn ich mich verlesen habe, muss man java script an haben.
seit langem benutze ich ein plugin, wo man einstellen kann was java & javascript so darf oder auch nicht.
unter der experteneinstellung wird auch die möglichkeit geboten, nur ganz bestimmte funktionen zu nehmen zB click, change.

ich bräuchte also nur den namen dieser funktion in die blacklist reinstellen und schon wäre ich sicher vor dieser attacke.
 
Thema:

Exploit für Firefox 1.5.0.3 bestätigt

Exploit für Firefox 1.5.0.3 bestätigt - Ähnliche Themen

  • News: Java auch in neuester Version mit Sicherheitslücke - Exploits für ältere Version kursieren im Netz

    News: Java auch in neuester Version mit Sicherheitslücke - Exploits für ältere Version kursieren im Netz: Die schlechten Nachrichten rund um Oracles Java reißen einfach nicht ab, denn trotz etlicher Updates in jüngster Zeit finden sich immer und immer...
  • Exploit für ungepatchte IE-Lücke veröffentlicht

    Exploit für ungepatchte IE-Lücke veröffentlicht: Quelle und ganzer Bericht auf Heise.de
  • Morgen, Kinder, wird's was geben: Zero-Day Exploit für Firefox 3.6

    Morgen, Kinder, wird's was geben: Zero-Day Exploit für Firefox 3.6: Quelle und ganzer Bericht bei Heise.de
  • Exploit für Firefox und Seamonkey kursiert

    Exploit für Firefox und Seamonkey kursiert: Für eine in den neuesten Versionen von Firefox und Seamonkey beseitigte Sicherheitslücke ist Exploit-Code öffentlich verfügbar, warnt eine...
  • Demo-Exploit für Firefox 1.5.0.4

    Demo-Exploit für Firefox 1.5.0.4: In seinem Blog "Browser Fun" demonstriert H.D. Moore, warum die Installation des Updates auf Firefox 1.5.0.5 geboten ist. Der Sicherheitsforscher...
  • Ähnliche Themen

    Oben