laut bugtraq und bugzilla sind die mozillaversionen bis 1.5 von einer möglichen css-attacke betroffen. schadcode kann in einem anderen sicherheitskontext ausgeführt werden, im schlimmsten fall im lokalen.
ein update auf 1.6 ist empfehlenswert.
bugzilla-posting mit demo-exploit
Tyrfing Rigor Mortis „cross-site-scripting attacke unter mozilla-suite bis v1.5“
Cross-site-Probleme wird man wohl (leider) nie völlig auschließen können, aber wenigstens ist das Problem schon gepatcht
Und die Moral von der Geschicht': vollkommen sicher geht es nicht
Thomas139 Rigor Mortis „cross-site-scripting attacke unter mozilla-suite bis v1.5“
Hallöle!
Blöde Frage, das Problem müsste doch eigentlich auch die Firefox Versionen betreffen, oder?
Ich habe nämlich einen solchen, finde auf der deutsche firefox site und auf mozilla.org aber keine Infos dazu, geschweige denn den patch für Mozilla.
weiß hier jemand was darüber, bzw, kennt den direkten link?
thanx, thomas
Rigor Mortis Thomas139 „Hallöle! Blöde Frage, das Problem müsste doch eigentlich auch die Firefox...“
firefox ist ein fork (abgespaltete parallelentwicklung) von mozilla, je nachdem wo der fehler steckt muß er nicht zwangsläufig auch in firefox enthalten sein. da weder auf bugzilla noch auf bugtraq andere versionen genannt wurden kann an eigentlich davon ausgehen, daß nur der mozilla-zweig betroffen ist.
Thomas139 Rigor Mortis „firefox ist ein fork abgespaltete parallelentwicklung von mozilla, je nachdem wo...“
Aha - wieder was dazu gelernt. :-)
Ich dachte immer, firefox ist allein der browser aus der Mozillasuite.
Dankeschön und noch einen angenehmen Sonntag
thomas
LeoniConti Rigor Mortis „cross-site-scripting attacke unter mozilla-suite bis v1.5“
Hi zusammen,
da der Bug in der Datei nsDOMClassInfo.cpp gefixt wurde und diese Datei ganz klar zum "core" des eigentlichen Brwosers gehört, gehe ich davon aus, daß der Bug auch in Firefox enthalten "war". Da der Bug aber doch schon ein paar Tage auf dem Buckel hat, könnte es durchaus sein, daß der Fix schon in Firefox enthalten ist. Wenn nicht, kann man entweder auf die nightly builds umsteigen - oder man wartet auf die nächste Version von firefox. Guter Browser übrigens ;o)
