Push-Nachrichten von MacTechNews.de
Würden Sie gerne aktuelle Nachrichten aus der Apple-Welt direkt über Push-Nachrichten erhalten?

Sicherheitsaktualisierung für gefährliche Lücke in Firefox

Die Mozilla Foundation hat am Wochenende eine Sicherheitsaktualisierung für Firefox veröffentlicht. Version 3.0.8 des bekannten Browsers schließt dabei eine gefährliche Sicherheitslücke, welche vor einigen Tagen über eine Hacker-Seite bekannt wurde. Ebenfalls wird eine Sicherheitslücke geschlossen, welche im Zuge des Hacker-Wettbewerbs Pwn2Own der CanSecWest-Konferenz aufgedeckt wurde. Die Sicherheitslücken können Angreifer dazu nutzen, durch das einfache Anzeigen von entsprechend manipulierten Webseiten schädliche Programmanweisungen auszuführen und so die Kontrolle über den Computer zu erlangen. Anwendern wird daher eine umgehende Aktualisierung von Firefox auf die neueste Version empfohlen. Die Mozilla Foundation selbst stuft die Sicherheitslücken als kritisch ein. Firefox 3.0.8 benötigt mindestens Mac OS X 10.4 und ist als Download ungefähr 17 MB groß.

Weiterführende Links:

Kommentare

ex_apple_user_neu30.03.09 10:31
Zur Info an die Nicht-Firefox-Benutzer:

Die Auf CanSecWest 2009 demonstrierte Lücke ist in Safari noch lange offen und Opera wurde nicht getestet.
0
Dr. Seltsam
Dr. Seltsam30.03.09 10:37
ex_apple_user_neu

Was soll die Trollerei? Glaubst du, dass du mit dieser Anmache irgend jemanden dazu bekehren kannst, FF zu nutzen?

Ebenso gut könnte man argumentieren dass das Scheunentor, um welches es bei diesem aktuellen FF-Patch ging, bis zum Fix bereits kräftig ausgenutzt wurde. DAS war der Grund für die Eile mit dem der Patch ausgegeben wurde.
0
ex_apple_user_neu30.03.09 10:59
Das ist doch keine Trollerei.
Das ist ein Hinweis an all jene, die die Sicherheitslüce von der CanSecWest verpasst oder nicht verstanden haben.
Die Lücke ist für alle Safari-Nutzer von vorhanden.

Ich selbst sehe hier aber kein Problem, da ich meist auf mir vertrauten Seiten surfe.

Lustig wäre es, wenn hier jemand in den Kommentaren einen manipulierten Link setzen würde, der zunächst klickürdig erscheint.
0
Knork30.03.09 11:23
Dr. Seltsam:

Die Firefox-Lücke wurde "vor einigen Tagen" auf einer Hackerwebsite veröffentlicht.

Die Safari-Lücke existiert seit über einem Jahr (und ist bis heute nicht gefixed.)

Von daher: Ball flach halten...
0
Dr. Seltsam
Dr. Seltsam30.03.09 11:23
ex_apple_user_neu

Beim berichteten Fix geht es aber in erster Linie um etwas völlig anderes, nämlich um eine Scheunentor und ich nutze in diesem Fall das Wort bewusst. Und nur deshalb kam der Fix derart schnell, weil man beim Mozilla-Team zurecht Blut und Wasser schwitze, der Exploit wurde nämlich bereits kräftig ausgenutzt ( Exploit für 0-Day-Lücke, XML/XSL).
0
ex_apple_user_neu30.03.09 11:26
und ich hatte mich dagegen nur auf die Lücke vom CanSecWest bezogen. So hatten Du und ich ja dann beide Lücken abegdeckt.

Wir schreiben nun ein Fazit: Firefox ist zunächst wieder dicht.
Safari ist es nicht und bei Opera weiss die Öffentlichkeit gar nicht, ob es diese Lücken gibt.
0
Dr. Seltsam
Dr. Seltsam30.03.09 11:32
Zur Safari Lücke möchte ich noch eine Kleinigkeit anmerken, damit wir alle etwas klarer sehen:

Es wurde beim Pwn2Ow-Wettbewerb keine nativer Safari-Code gehackt, sondern ein Fehler in der "open source Perl Compatible Regular Expressions library used by WebKit’s JavaScript engine" ausgenutzt.
Apple Insider
It wasn't Apple's proprietary code in Safari that was cracked.

Apple sollte schleunigst eine gefixte Version der Library in Safari packen und dafür Sorge tragen, dass Fixes an den OSS-Bestandteilen möglichst umgehend In Safari Einzug finden und ausgeliefert werden.
0
ex_apple_user_neu30.03.09 11:49
Dr. Seltsamn, man kann jetzt aber ziemlich kleinlich sein. Auch wenn es der Wahrheit entspricht.

Dann lassen wir es doch so schreiben: Apples Safari-Paket hat noch diese bei CanSecWest demonstrierte Lücke.
0
Dr. Seltsam
Dr. Seltsam30.03.09 12:00
ex_apple_user_neu

*zustimme*
0
Aronnax30.03.09 13:10
Beim berichteten Fix geht es aber in erster Linie um etwas völlig anderes, nämlich um eine Scheunentor und ich nutze in diesem Fall das Wort bewusst. Und nur deshalb kam der Fix derart schnell, weil man beim Mozilla-Team zurecht Blut und Wasser schwitze, der Exploit wurde nämlich bereits kräftig ausgenutzt ( Exploit für 0-Day-Lücke, XML/XSL).

Das stimmt gar nicht.

.. kein Lust es noch mal zu schreiben .. deshalb das, was ich vor ein paar Tagen dazu hier auf dieser Seite dazu schrieb:
http://www.mactechnews.de/news/comments.html?id=143563


Einerseits,
man könnte es in jede Seite einbauen.
Deshalb ist der auch als kritisch eingestuft.

"Exploit code at the link iframes a little xml file with an xslt transform that causes a crash"

Anderseits,
man könnte dann Firefox gezielt zum Absturz bringen und währenddessen eigenen Code in den Arbeitsspeicher schreiben .. und ausführen.

Ansonsten,
die meisten Sicherheitsbugs sehen in etwa so aus:
Eine Methode gefunden den Browser absaufen zu lassen.
Erfahrungen mit älteren vergleichbaren Bugs haben gezeigt, dass es nun eventuell möglich sein könnte Code auszuführen.
Ob das wirklich geht ist aber noch offen .. bzw. genaues weiß man nicht .. Beispiele die demonstrieren das es geht, gibt es auch nicht.

Dieser hier gehört auch in diese Kategorie.
Oder anders gesagt:
Bis auf weiteres ist das alles eine theoretische Bedrohung und ob der jemals ausgenutzt wird, oder ob es über diesen Bug überhaupt jemals möglich sein wird, ist unbekannt.

-----

Also denk dir nicht irgendwelchen Unsinn aus.

Wenn man eine Methode gefunden hätte, diese Lücke auch wirklich auszunutzen, ja dann wäre es wohl ein Scheunentor. Bisher war es aber keines.

Übrigens nutzen und suchen Hacker viel lieber IE Lücken .. siehe bei diesem Beispiel .. Mozilla fixt einfach zu schnell (zwei Tage), als das es sich lohnt.
0
Aronnax30.03.09 13:33
Zur Safari Lücke möchte ich noch eine Kleinigkeit anmerken, damit wir alle etwas klarer sehen:

Es wurde beim Pwn2Ow-Wettbewerb keine nativer Safari-Code gehackt, sondern ein Fehler in der "open source Perl Compatible Regular Expressions library used by WebKit’s JavaScript engine" ausgenutzt.

Apple sollte schleunigst eine gefixte Version der Library in Safari packen und dafür Sorge tragen, dass Fixes an den OSS-Bestandteilen möglichst umgehend In Safari Einzug finden und ausgeliefert werden.

Übrigens weiß ich gar nicht, warum du hier .. kein nativer Safari-Code ... an den OSS-Bestandteilen .. und so weiter unterscheidest.

Webkit ist immer ein OSS-Bestandteil .. Apple's proprietary code in Safari ... bedeutet dann nur, dass es sich um Teile der Benutzeroberfläche handeln muss .. denn nur die sind nicht Open Source .

Oder anders gesagt: Ich kann mir nicht vorstellen, dass du hier bei irgend jemanden für Klarheit gesorgt hast. Ehr im Gegenteil
0

Kommentieren

Sie müssen sich einloggen, um die News kommentieren zu können.