Das kennen wir doch schon zu lange, ist nichts neues.

User_tron: Was kennen wir schon lange? Immer diese idiotischen Kommentare von wegen -das ist schon lange bekannt- Schenk dir das doch einfach. Mr. News.

Die Lücke betrifft doch Windows-Rechner?!? Wayne interessiert's?

iMad

maxbook:
Nein, die Lücke betrifft Windows-, Mac OS X- und Linux-Rechner.

user_tron:

Aber Humor hast wenigstens! Auch gut.

Diese konkrete Lücke ist neu gefunden worden.

Was nicht neu ist sind generelle Sicherheitsprobleme bezüglich Javascript. Es tauchen auch immer wieder Lücken in Browsern auf und sehr oft ist die Implementierung von Javascript das Problem.

Besonders lustig ist, dass Technologien wie z.B. AJAX auf Javascript aufbauen.

ts:

Generell? Wirklich? Dieses Wort "generell" musst Du näher erläutern. Kann ich so nämlich nicht unterstreichen.

Sehr oft? Beispiele, die das "sehr oft" belegen/rechtfertigen?

Abgesehen davon: bzgl. Implementierung hast Du schon recht (es liegt also an der Implementierung durch den Hersteller und nicht an JavaScript selber).

Und hat sie in einem Browser durchaus einen Sinn und echten, brauchbaren und eigentlich heutzutage unverzichtbaren Mehrwert, so frage ich mich bzgl. Adobes PDF Reader angesichts von implementiertem JavaScript, 3D- und Multimediafähigkeiten: "Wozu braucht ein PDF Reader überhaupt JavaScript, OpenGL-basierte 3D- und Multimediaunterstützung, und weshalb sind die in den Konfigurationseinstellungen teilweise bzw. großenteils standardmäßig aktiviert?"

Wer braucht das alles und wozu? In einem PDF Reader, also einem reinen Anzeigeprogramm für PDFs, mit dem man bestenfalls PDFs nachbearbeiten (z.B. Formulare ausfüllen) können muss? Was haben diese interaktiven und Multimedia-Techniken da überhaupt drin zu zuchen? Was für PDFs müssen das sein, die diese Dinge nutzen wollen? Der Sinn und Zweck erschließt sich mir da irgendwie nicht, vielleicht kannst Du mich da ja mal erleuchten.

Wenn Ihr wüsstet, wie viele Lücken ich habe, heidewitzka...

sierkb
Ist doch wegen den 3D Exporten aus CAD Programmen in der Architektur, Gebäudetechnik, Prozesstechnik etc. mit der Pläne zur Kontrolle als 3Dimensionale Modelle versendet werden, habe erst vor drei Tagen einen GT Plan für unser Architekturmodell kontrolliert, finde die Möglichkeiten in unserer Branche genial. Das Modell kannst du drehen, bewegen, zoomen etc. Bin immer noch ganz aus dem Häusschen.

Also ich habe schon von sehr vielen Sicherheitslücken gehört, die Javascript voraussetzen und auch des öfteren Fehlerbehebungen bei FF gesehen, die Sicherheitsprobleme mit Javascript ausbügeln.

Javascript selbst hat auch viel Zugriff auf Dinge, die ein Nutzer nicht unbedingt wünscht. Kontextmenüs ausblenden, Statusleisten verändern, Fenster verschieben und so weiter.

Deshalb würde ich mir z.B. für AJAX wünschen, dass nur eine Teilmenge von Javascript benutzt wird.

ts:

Zwischen dem, was man so hört (und da ist so manches Mal die eine oder andere Halbwahrheit, Übertreibung oder Falschinformation drunter) bzw. was der Buschfunk manchmal so trommelt und dem, was die tatsächliche Realität ist, liegen manchmal Welten bzw. tun sich manchmal mehr oder weniger große Unterschiede auf. Deshalb frage ich nach ganz konkreten Infos dazu bei Dir nach...

Wie bereits gesagt: Implementation und Umsetzung ist das Stichwort, nicht die Technologie selber. JavaScript selber ist von je her so konzipiert, dass es in einem in sich abgeschlossenen Bereich funktioniert, nicht aber darüberhinaus. Eine fehlerhafte Implementierung in das Umfeld, die macht das Gros der gefundenen Probleme in dieser Hinsicht aus. Und das gelingt dem einen Hersteller mal beser und mal schlechter. Mozilla als Muttergesellschaft der ehemaligen Netscape-Technologie JavaScript, ist mir in diesem Zusammenhang eigentlich eher zurückhaltener aufgefallen, was irgendwelche Bugs in deren JavaScript-Implementierung angeht, und andere Browser-Hersteller machen da auch recht gut ihre Hausaufgaben.

Selbst bei lange als sicher geglaubten Implementierungen gewisser Technologien gibt es ab und zu mal Sicherheitslücken, sei es PDF, Java, Flash oder einfaches Cross-Site-Scripting via HTML-Formular-Elementen (meist im Zusammenspiel mit PHP-basierten Umsetzungen und/oder Sicherheitslücken von PHP bzw. unsauberen Umsetzungen).

Wer jedoch seit längerem immer wieder -- gerade bei diesem Thema (und nicht nur dort) Bugs und Lücken offenbart hat -- verbunden mit einem lange Zeit recht langatmigen Patchmanagement, das ist tatsächlich Adobe.

Das lässt sich normalerweise in einem modernen Browser alles haarklein konfigurieren, einschränken und unterbinden. Und zwar vom Benutzer im Konfigurationsmenü. Siehe bzgl. Firefox dazu auch das offizielle Support-Dokument der Mozilla Wissensdatenbank: JavaScript-Einstellungen .

Mozillas und Operas Browser bieten das bereits seit mehreren Jahren an, mittlerweile auch seit längerem Safari und sogar der Internet Explorer. Und i.d.R. haben die Browser von heute schon so einige vernünftige Einstellungen vorselektiert. Ein Blick ins Konfigurationsmenü oder/und ggf. das Auseinandersetzen mit der eingebauten Browser-Hilfe oder einschlägigen Hilfeseiten lohnt da manchmal, um die Möglichkeiten zu entdecken, die die Browser von heute dem Nutzer so anbieten.

AJAX ist nur ein Kunstbegriff, ein Buzzword.
JavaScript ist vornehmlich dazu da, das Document Object Model (DOM) eines geladenen Dokuments auslesen, verwalten und ggf. verändern zu können bzw. andere Dinge unter Einhaltung gewisser Sicherheitsmodelle in dieses integrieren oder aus diesem exportieren zu könnnen.

E4X (ECMAScript for XML) könntest Du dabei genauso nennen wie JavaScript.