Exploit für Lücke in Firefox und Mozilla führt beliebige Programme aus
Hier der vollständige Artikel von heise-online:
Für die am Wochenende bekannt gewordenen Sicherheitslücken in Firefox und Mozilla, die mit Version 1.0.3 beziehungsweise 1.7.7 gestopft werden, wurden auch bereits die ersten Exploits für Windows veröffentlicht – in den Bugreports wurde ebenfalls darauf hingewiesen. Der Sicherheitsspezialist Michael Krax stellt auf seinen Seiten die Demo Firelinking bereit, bei der ein Klick auf einen Link eine Batch-Datei auf die Festplatte schreibt und anschließend startet. Glücklicherweise ruft die Datei nur die Eingabeaufforderung auf.
Potenziell lässt sich diese Lücke auch dazu benutzen, um Trojaner und Backdoors auf dem System zu installieren. Es ist damit zu rechnen, dass in den nächsten Tagen die ersten Seiten im Web auftauchen, die Firefox- und Mozilla-Anwendern Schädlinge unterjubeln. Unter Linux legt der Exploit nur eine Datei an, führt sie jedoch nicht aus.
Anders als bisherige Lücken in Firefox und Mozilla ist für einen erfolgreichen Angriff auf Windows-PCs nur minimale Benutzerinteraktion erforderlich. Auch konnte über die bislang entdeckten Schwachstellen in den Open-Source-Browsern ein Angreifer nicht die Kontrolle über das System erhalten.
Noch Ende März hatte die Präsidentin der Mozilla-Foundation Mitchell Baker vollmundig behauptet, die Sicherheit von Firefox würde nicht unter dessen Popularität leiden. Vielleicht fühlten sich einige Sicherheitsspezialisten durch diese Äußerung angestachelt: Immerhin muss das aktuelle Update noch zwei weitere kritische Lücken schließen. Für eine davon kursiert ebenfalls schon ein Proof-of-Concept-Exploit.
Anwender sollten so schnell wie möglich auf Firefox 1.0.3 oder Mozilla 1.7.7 wechseln. Für die deutsche Version von Firefox steht allerdings derzeit noch kein Auto-Update zur Verfügung. Wer nicht warten möchte, kann sich diese Version auch manuell hier herunterladen: http://download.mozilla.org/?product=firefox-1.0.3&o… 1.0.3 für Windows, Deutsch (4.7MB). (dab/c’t)
Und hier: http://ftp.mozilla.org/pub/mozilla.org/mozilla/l10n/… der Downloadlink (Zip-Version) für die Mozilla Suite 1.77.
Hy,
und die Originalquelle zu dieser meldung ist dann incl. weiterer Infos und Links unter
http://www.heise.de/newsticker/result.xhtml?url=/new…
zu finden.
gruß
h.
Hallo Big_Surfer und Little_H
und die Originalquelle zu dieser meldung ist dann incl.
weiterer Infos und Links unter
http://www.heise.de/newsticker/result.xhtml?url=/new…
zu finden.
Was macht ihr hier für eine Panik. Da haben ein paar Schreiberlinge sich ein paar Cents dazu verdient und von ihrem Recht auf freie Meinungsäußerung gebrauch gemacht:
- Die Sicherheitslücke war vor der Veröffentlichung dieses Schriebs bekannt und ist geschlossen!
- Wieso leidet die Akzeptanz von Mozilla&Co, wenn die Programmierer diese Sicherheitslücke schon geschlossen haben?
- Es gibt nicht erst seit heute User, die sich seltsamer Weise darüber beschweren, das sich das Update-Karusell zu schnell dreht.
- Wenn die Liste der Katastrophen von Mozilla&Co. ähnliche Ausmaße wie diese hat: http://tinyurl.com/bd79o dürfte euere „Kritik“ berechtigt sein und wird allseitig akzeptiert.
- Jeder von euch ist aufgerufen, Mängel in der Browserfamilie zu finden und soweit mir bekannt ist, gibt es noch immer Geldprämien für gefundene Sicherheitslücken von der „Mozilla Foundation“.
Also:
Ruhe ist die erste Userpflicht und den Editor scharf machen. Wenn ihr wissen wollt, welcher Editor am besten geeignet ist und wo man die Source her bekommt, könnt ihr ja noch mal posten.
Ist das so für euch beide Ok?
der hinterwäldler
Hallihallo,
zu finden.
Was macht ihr hier für eine Panik. Da haben ein paar
Hmm, wir machen garkeine Panik. Ist eine simple Info. Was jeder für sich damit anfängt ist ja seine Sache.
Gruß
h.
1 „Gefällt mir“
Hy,
nochmal ein kleiner Nachtrag 
- die Sicherheitslücke ist erst seit kurzem bekannt und jetzt
gibt es Exploits dafür, d.h. Schadprogramme die diese Lücke
ausnutzen.
Und wer es testen will kann das .B. unter http://www.mikx.de/firelinking/ mal tun…
gruß
h.
2 „Gefällt mir“
Hallo big_surfer
- Die Sicherheitslücke war vor der Veröffentlichung dieses
Schriebs bekannt und ist geschlossen!
Genau so und nicht anders ist es!
- die Sicherheitslücke ist erst seit kurzem bekannt und jetzt
gibt es Exploits dafür, d.h. Schadprogramme die diese Lücke
ausnutzen.
Das geht beim IÄ innerhalb von 24 Stunden. In der Newsgroup de.comm.software.mozilla.browser wäre man bestimmt gespannt auf solche Infos. Leider fallen die für das vergangene halbe Jahr im deutschsprachigen Raum sehr mager aus, wie du dich hier selbst überzeugen kannst: http://tinyurl.com/8ww7h
- Die Sicherheitslücke wird erst mit FF 1.03 geschlossen, den
es seit kurzem gibt. Viele ONUs haben das evtl noch nicht
mitbekommen!
Na und, worin liegt jetzt dein Problem? Erst wird geschlossen und dann findet sie einer oder wie funktioniert bei dir sowas. In der Reihenfolge stimmt da was nicht. Könnte es nicht eher so sein, das diese Lücke schon lange erkannt war, irgend ein kluger Mensch hat bei https://bugzilla.mozilla.org/ mal was drüber gelesen und dann Heureika gerufen? Das ist Bildzeitungsmentalität und die gehört nicht hier her.
Dies soll nicht als (Ab)wertung
der Mozilla Programme verstanden werden. Ich halte diese bei
weitem für sicherer als die entsprechenden Microsoft Produkte,
aber eben nicht für absolut sicher.
Letzteres hat niemand behauptet, aber es wird daran in aller Welt von 1000ten Usern gearbeitet --> kostenlos. Diesen Leuten gegenüber sollte man also etwas gerechter sein und sie nicht in den gleichen Topf mit M$ werfen.
der hinterwäldler