Viren, Spyware, Datenschutz 11.258 Themen, 94.807 Beiträge

Verfolgung starten Optionen
News: Workaround: JavaScript ausschalten

Zwei neue kritische Löcher im Firefox

Redaktion / 16 Antworten / Baumansicht Nickles

Secunia hat zwei neue 'sehr kritische' Sicherheitsprobleme im Firefox-Browser bekannt gegeben. Beide beruhen auf Cross-Scripting Angrifen und IFRAME JavaScript URLs.

Betroffen ist auch die aktuelle Version 1.0.3 - ein Programm, das die Löcher ausnutzt, ist ebenfalls bereits veröffentlicht worden.

Mehr Informationen dazu bei Secunia. Als einziges Workaround wird momentan das Abschalten von JavaScript im Browser empfohlen. Das Problem: Sehr viele Webseiten können ohne JavaScript nicht richtig benutzt werden.

bei Antwort benachrichtigen
GarfTermy Redaktion „Zwei neue kritische Löcher im Firefox“
Optionen

irgendwie war doch klar das mit steigender verbreitung alternativer browser auch die anzahl der erkannten sicherheitsrisiken dieser browser zunimmt... leider.

;-)

The two basic principles of Windows system administration: For minor problems, reboot For major problems, reinstall
bei Antwort benachrichtigen
Brezel GarfTermy „irgendwie war doch klar das mit steigender verbreitung alternativer browser auch...“
Optionen

>>>das mit steigender verbreitung ... auch die anzahl der erkannten sicherheitsrisiken dieser browser zunimmt... leider Ich bin jedenfalls ganz froh, daß die Sicherheitsrisiken erkannt werden ;-)
Das sie überhaupt vorhanden sind, ist natürlich nicht so schön.
Bisher hat die Praxis (zum Glück) gezeigt, das erkannte Lücken beim FF deutlich schneller gefixt werden, als beim IE. Aber das weißt Du ja selbst :-)

Gruß, Brezel

bei Antwort benachrichtigen
ThomasS Redaktion „Zwei neue kritische Löcher im Firefox“
Optionen

Naja, hier wird mal wieder eine Sicherheitslücke als kritisch hochgekocht, die bei richtiger Konfiguration vom FF und WinXP keinerlei Risiko darstellt, also mehr heisse Luft als reales Risiko.

"Successful exploitation requires that the site is allowed to install software"

Braucht wohl nicht weiter komentiert zu werden. Wer zudem nur mit eingeschränkten Benutzerrechten und gesetztem User-Passwort sein i-Net Konto nutzt, ist sowieso vor Viren, Würmern und Trojanern weitestgehend sicher. Es besteht dann eh nur Schreibrecht im eigenen Profilordner. Auf c:\ und allen nicht explizit freigegebenen Laufwerken geht in der Richtung nix.

Grüsse, ThomasS

bei Antwort benachrichtigen
GarfTermy ThomasS „Naja, hier wird mal wieder eine Sicherheitslücke als kritisch hochgekocht, die...“
Optionen

"...ist sowieso vor Viren, Würmern und Trojanern weitestgehend sicher...."

soso.

*koppschüttel*

;-)

The two basic principles of Windows system administration: For minor problems, reboot For major problems, reinstall
bei Antwort benachrichtigen
ThomasS GarfTermy „ ...ist sowieso vor Viren, Würmern und Trojanern weitestgehend sicher.... soso....“
Optionen

Warum *koppschüttel*?

In Verbindung mit Brain, einer ordentlichen Installation und Konfiguration von WinXP, regelmässigem patchen sehe ich soweit kein Problem. Ich habe mir unter WinXP jedenfalls noch nichts eingefangen, benutze WinXP jetzt immerhin schon rund 3 Jahre.

Vieren und co installieren sich in der Regel auf c:\ oder irgendwo im Windowsverzeichnis, meist im System32-Ordner. Versuche mal mit eingeschränkten Benutzerrechten in einem dieser Verzeichnisse nur eine simple *.txt zu speichern, wird dir mit einer Fehlermeldung von Windows verweigert; oder versuche eine Systemdatei zu ändern oder zu löschen, wird dir ebenfalls verweigert. Genauso geht es der MalWare die sich zu installieren versucht.

Das man natürlich auch Software meiden sollte, die die Sicherheitskonzeption von Windows unterläuft, wie z.B. der IE durch seine default Einstellungen mit aktiviertem AktivX u.s.w., gehört natürlich auch dazu.

Grüsse, ThomasS

bei Antwort benachrichtigen
Olaf19 ThomasS „Naja, hier wird mal wieder eine Sicherheitslücke als kritisch hochgekocht, die...“
Optionen

Hi Thomas,

eines gefällt mir an der Sache überhaupt nicht: "Websites das Installieren von Software erlauben" ist beim Firefox per Default eingeschaltet, d.h. man muss es nach der Installation erstmal manuell abschalten - und dazu wissen, dass dieses Risiko überhaupt besteht.

Und das ist eine Marotte, die die Entwickler sofort abstellen können, ohne erst einen passenden Patch für die Sicherheitslücke gefunden zu haben. Ist mir unverständlich, wie man eine sicherheitstechnisch so heikle Angelegenheit derart nonchalant behandeln kann.

Was das Thema eingeschränkte Benutzerrechte etc. angeht - ich bin mal ganz ehrlich: Ich surfe immer mit vollen Adminrechten. Ich habe es vor langer Zeit mal ausprobiert, mit stark eingeschränkten Rechten zu surfen - es hat mich schlicht genervt, dass ich ständig alles Mögliche nicht "gedurft" habe. Abgesehen davon frage ich mich auch immer, in wie weit sich Schadprogramme überhaupt darum scheren, was sie dürfen und was nicht.

'Tyrfing' hatte dafür immer die wunderschöne Formulierung: "...dass wildfremde Leute auf deinem System mehr Rechte haben als du selbst".

CU
Olaf

Die Welt ist ein Jammertal ohne Musik. Doch zum Glueck gab es Bach, Beethoven, Haendel und Goethe (Helge Schneider)
bei Antwort benachrichtigen
fnmueller1 Olaf19 „Hi Thomas, eines gefällt mir an der Sache überhaupt nicht: Websites das...“
Optionen

das frage ich mich hier schon laut und lange auf diesem board....
aber viele wollen es auch nicht hören.
Siehe auch wieder brezel: http://www.nickles.de/static_cache/537891451.html

bei Antwort benachrichtigen
Olaf19 fnmueller1 „das frage ich mich hier schon laut und lange auf diesem board.... aber viele...“
Optionen

Letztlich sehe ich die ganze Angelegenheit sehr entspannt. Ganz gleich welchen Browser man einsetzt, jeder Browser ist eine potenzielle Virenschleuder, denn ein solches Programm ist nun mal dafür da, Sachen aus dem Internet auf den Rechner zu laden und dort anzuzeigen. Und das Internet ist zumindest potenziell unsicher.

Solange sich die Entwickler beeilen, die Sicherheitslöcher zügig zu beseitigen, find ichs OK - das Problem hat man mit jedem Browser, auch wenn Opera laut Secunia momentan die Nase ein Stück weit vorn hat.

Aber da man eh nie 100% sicher ist, würde ich persönliche Sympathien zum Erscheinungsbild des Browsers und seiner Handhabung als entscheidendes Kriterium für die Wahl eines Browsers ansehen. Firefox ist mir seit einiger Zeit am liebsten, dicht gefolgt von Opera.

Was die Sicherheitslücken angeht, da ist heute Firefox der Prügelknabe, morgen ist es Opera, gestern war es Netscape - und der IE ist es natürlich immer :-))

CU
Olaf

Die Welt ist ein Jammertal ohne Musik. Doch zum Glueck gab es Bach, Beethoven, Haendel und Goethe (Helge Schneider)
bei Antwort benachrichtigen
ThomasS Olaf19 „Hi Thomas, eines gefällt mir an der Sache überhaupt nicht: Websites das...“
Optionen

Hi Olaf,

"...Und das ist eine Marotte, die die Entwickler sofort abstellen können,..."

Da hast du einfach nur recht.

"...es hat mich schlicht genervt, dass ich ständig alles Mögliche nicht "gedurft" habe."

Das ist so ein Thema für sich, wenn du dir einmal die Mühe machst, die Programme die admin Rechte verlangen, über die Rechteverwaltung anpasst, so dass die User die das jeweilige Programm nutzen dürfen, damit auch problemlos arbeiten können, stellt auch das kein Problem mehr da. Ich versuche nach Möglichkeit nur, ich nenn's mal so, Multi-User-Programme zu verwenden, da stellt sich das Problem erst garnicht.
Zudem kannst du, wenn du auch ein für dich zugängliches Adminkonto hast, jederzeit über "ausführen als" ein Programm unter administrativen Rechten ausführen. Ich praktiziere dies jetzt schon seit ca. 2,5 Jahren so.

Jede ausführbare Software (install.exe, xyz.com, u.s.w.) die du dir auf die Platte holst hat auch ersteinmal nur die gleichen Rechte wie der angemeldete User der die Software installieren will.
Gefährlich wird es, wenn Routinen zur Installation genutzt werden die z.B. Systemstatus haben, denn das System hat immer admin Status, also alle Rechte. Z.B. der Internet Explorer, der tief ins System verwoben ist. Teile des IE haben Systemstatus, also ist darüber auch die Malware-Installation möglich, was ja zur genüge ausgenutzt wird.
Der FF ist ganz anders aufgebaut. Plugins, die Konfigurationsdateien und der Browsercache befinden sich alle nicht im Programmverzeichnis unter c:\Programme\Mozilla..., sondern in den jeweiligen Profilverzeichnissen der vorhandenen User.
Damit kann jeder User den Browser unabhängig nach seinen Vorstellungen zusammenbasteln.
Schon dadurch ist eine Komprimitierung des gesammten Systems stark eingeschränkt.
Wenn User A unter eingeschränkten Rechten angemeldet ist und sich ein Plugin installiert, kann auch nur er es nutzen s.o.
Versucht er, oder eine Schadroutine, Datein im Programmordner des FF zu verändern, folgt nur eine Fehlermeldung.
Geschieht dies unter einem Adminkonto, heisst das unter Umständen, gute Nacht.

Ich kann immer wieder nur dazu raten nur als eingeschränkter Benutzer zu arbeiten; das Adminkonto wirklich nur zu administrativen Zwecken zu verwenden, es ist möglich XP so zu konfigurieren, dass auch der eingeschränkte User ohne Einschränkungen arbeiten kann.

Grüsse, ThomasS

bei Antwort benachrichtigen
Olaf19 ThomasS „Hi Olaf, ...Und das ist eine Marotte, die die Entwickler sofort abstellen...“
Optionen

Hi Thomas,

> Gefährlich wird es, wenn Routinen zur Installation genutzt werden die z.B. Systemstatus haben,...
> Z.B. der Internet Explorer, der tief ins System verwoben ist.
> Teile des IE haben Systemstatus, also ist darüber auch die Malware-Installation möglich

Ja, genau das meinte ich. Vom Standpunkt der Funktionalität hat die tiefe Einbindung des IE und seine vollständige Verquickung mit dem Dateimanager, dem Windows Explorer, sicherlich einige Vorzüge - aber man verliert als User eben auch leichter die Kontrolle.

Danke für deine ausführliche Schilderung der Hintergründe und für die guten Tipps!

CU
Olaf

Die Welt ist ein Jammertal ohne Musik. Doch zum Glueck gab es Bach, Beethoven, Haendel und Goethe (Helge Schneider)
bei Antwort benachrichtigen
ThomasS Olaf19 „Hi Thomas, Gefährlich wird es, wenn Routinen zur Installation genutzt werden...“
Optionen

Hi Olaf,

Nix zu danken, gern geschehen.

Grüsse, ThomasS

bei Antwort benachrichtigen
thomas woelfer Olaf19 „Hi Thomas, Gefährlich wird es, wenn Routinen zur Installation genutzt werden...“
Optionen

>> seine vollständige Verquickung mit dem Dateimanager, dem Windows Explorer

dir ist schon bewusst das du auch den firefox als dateimanager verwenden kannst... ?

ist aber optisch sehr unschoen ...

WM_QUERY

this posting contains no tpyos.
bei Antwort benachrichtigen
Olaf19 thomas woelfer „hm...“
Optionen

Stimmt, das funktioniert tatsächlich - Optik hin oder her. Grundsätzlich ist es mir aber sympathischer, für unterschiedliche Anwendungen auch verschiedene Programme zu benutzen. Wenn ich den IE von meinem System entferne, d.h. dessen Programmordner lösche oder leere (de-installieren geht ja nicht), kann ich mit dem Windows Explorer trotzdem ungestört weiter surfen. Dazu brauche ich mir nur die Pfadnamen der Dateien in der Adressleiste anzeigen zu lassen und dort stattdessen URLs aus dem Web einzugeben.

Das ist beim Firefox insofern anders, als dass er "ganz weg" ist, wenn ich ihn deinstalliere. Da bleibt nichts im System. Nebenbei, ich finde es schon ein wenig schade, dass es jetzt nur noch die installierbare, nicht mehr die nur ausführbare Version gibt. Da wurde gar nicht installiert, und die Registry blieb unberührt.

CU
Olaf

Die Welt ist ein Jammertal ohne Musik. Doch zum Glueck gab es Bach, Beethoven, Haendel und Goethe (Helge Schneider)
bei Antwort benachrichtigen
Tyrfing Olaf19 „Hi Thomas, eines gefällt mir an der Sache überhaupt nicht: Websites das...“
Optionen

>>Und das ist eine Marotte, die die Entwickler sofort abstellen können, ohne erst einen passenden Patch für die Sicherheitslücke gefunden zu haben. Ist mir unverständlich, wie man eine sicherheitstechnisch so heikle Angelegenheit derart nonchalant behandeln kann. Nur ist das Installieren von Extensions nunmal ein Hauptfeature von Firefox, ein Abschalten wäre also auch keien Lösung...
Die IMO beste Lösung ist immer noch die Preferences Toolbar, mit der man die Installation abgeschaltet lassen kann und wenn man es mal braucht, macht man kurz den Haken bei "Installation" hin und fertig

bei Antwort benachrichtigen
Olaf19 Tyrfing „ Und das ist eine Marotte, die die Entwickler sofort abstellen können, ohne...“
Optionen

Könnte man das nicht so lösen, dass der User sich die Extensions erstmal nur herunterlädt und anschließend "manuell" installiert? Ich mag es generell nicht besonders, wenn zuviel "automatisch" geht, habe lieber mehr Kontrolle über das, was im Systme vorgeht.

Nebenbei: Ich habe keinerlei Plugins / Extensions installiert, mir gefällt der FF so wie er ist. Wenn ich auf weitere Features scharf wäre, würde ich eher zu Opera wechseln, der mir auch ziemlich gut gefällt.

Mit welchem Browser bist du eigentlich unterwegs?

CU
Olaf

Die Welt ist ein Jammertal ohne Musik. Doch zum Glueck gab es Bach, Beethoven, Haendel und Goethe (Helge Schneider)
bei Antwort benachrichtigen
Tyrfing Olaf19 „Könnte man das nicht so lösen, dass der User sich die Extensions erstmal nur...“
Optionen

>>Könnte man das nicht so lösen, dass der User sich die Extensions erstmal nur herunterlädt und anschließend "manuell" installiert? Ich mag es generell nicht besonders, wenn zuviel "automatisch" geht, habe lieber mehr Kontrolle über das, was im Systme vorgeht. Eigentlich wäre es dasselbe, ein Programm wird auf den Rechenr geladen und ausgeführt. Und diese Funktion wurde eigentlich so sicher wie möglich gemacht (immer mit Bestätigung, "OK"-Button kommt erst nach 3 Sekunden, per Default dürfen es nur bestimtme Seiten), nur jetzt ist eben der GAU aufgetreten, dass es durch zwei Lücken quasi zu einem Dominoeffekt gekommen ist

>>Mit welchem Browser bist du eigentlich unterwegs? Ich benutze den "großen" Mozilla

bei Antwort benachrichtigen