Forum » Verschiedenes » Allgemein

Firefox 1.0.3: Javascript abschalten/Installieren von Software nicht erlauben

4 Beiträge / 0 neu
Zum Verfassen von Kommentaren bitte Anmelden.
Letzter Beitrag
10. Mai 2005 - 15:55
#1
Wolfgang
Offline
Registriert seit: 15.08.2007 - 17:44
Firefox 1.0.3: Javascript abschalten/Installieren von Software nicht erlauben

Anscheinend ein Sicherheitsloch bei Firefox 1.0.3. Wie es aussieht auf Windows Maschinen. Mehr hier:

Auszug:
"Ein Patch ist derzeit nicht verfügbar, Abhilfe schafft das Abschalten von JavaScript. Die Entwickler sind über die Schwachstelle bereits informiert und schlagen alternativ vor, unter Extras\Einstellungen\Web-Features die Option "Websites das Installieren von Software erlauben" zu deaktivieren."

HTH

Wolfgang

Nachricht bearbeitet (10.05.2005 15:57)

Oben
  • Zum Verfassen von Kommentaren bitte Anmelden.
10. Mai 2005 - 16:35
(auf Beitrag #1 antworten)
Wolfgang
Offline
Registriert seit: 15.08.2007 - 17:44
Re: Firefox 1.0.3: Javascript abschalten/Installieren von Softwa

Wolfgang schrieb:

> Anscheinend ein Sicherheitsloch bei Firefox 1.0.3. Wie es
> aussieht auf Windows Maschinen.

Allerdings schreiben andere nicht ausdrücklich von Windows:
(engl.)

und nicht unbedingt von der 1.0.3 Firefox Version:
:
"The vulnerabilities have been confirmed in version 1.0.3. Other versions may also be affected."

> Mehr hier:
>
>

Gruß
Wolfgang

Nachricht bearbeitet (10.05.2005 19:07)

--
[url=http://profiles.yahoo.com/wolfgangpfeiffer]profiles.yahoo.com/wolfgangpf...
[url=http://heelsbroke.blogspot.com/]heelsbroke.blogspot.com[/url]

Oben
  • Zum Verfassen von Kommentaren bitte Anmelden.
10. Mai 2005 - 16:52
(auf Beitrag #2 antworten)
Gast (nicht überprüft)
Sicherheitslücke in Firefox 1.0.3?

Die Heise-Newsticker-Meldungen (und viele andere Postings zu dem Thema) schaffen mehr Verunsicherung, als notwendig wäre. Wer es genau wissen will, sollte BugZilla lesen: .

Für mich sieht es so aus, als ob der Exploit nur recht schwierig reproduzierbar wäre. Viele Fx 1.0.2 User berichten, dass er nicht nachvollziehbar sei. Was die Option "Allow web sites to install software" angeht, so würde ein sicherheitbewusster (paranoider?) Benutzer diese wohl ohnehin abschalten. Die verbleibende Restunsicherheit stammt von den Whitelists - dazu hat das Mozilla-Team nun den Download-Bereich in eine nicht vertrauenswürdige Domain "do-not-add.mozilla.org" verlegt, die man natürlich dann nicht in die Whitelist aufnehmen sollte.

Ich halte unter dem Strich das Risiko für weniger groß, als es teilweise dargestellt wird. Firefox ist immer noch besser als IE, auch trotz dieser Lücke (und insbesondere, weil offen darüber diskutiert wird und die Probleme nicht bis zu irgendeinem "Patch Day" unter dem Teppich gehalten werden).

Wer mit dem Mac oder mit Linux arbeitet, ist übrigens noch besser dran - während es unter Windows genügt, eine Datei mit einer passenden Endung zu versehen (z.B. ".bat"), um sie ausführbar zu machen, ist dies mit UNIX-artigen Systemen nicht so einfach machbar. Die Berechtigung muss dort explizit vergeben werden, vermutlich ist dort das Problem damit gar nicht oder nur eingeschränkt vorhanden...

Nachricht bearbeitet (10.05.2005 16:53)

Oben
  • Zum Verfassen von Kommentaren bitte Anmelden.
13. Mai 2005 - 19:46
(auf Beitrag #3 antworten)
Gast (nicht überprüft)
Firefox 1.0.4 ist verfügbar

Firefox 1.0.4 und Mozilla 1.7.8 stehen jetzt zum Download zur Verfügung, damit sollte das Thema vom Tisch sein.

Nachricht bearbeitet (13.05.2005 19:52)

Oben
  • Zum Verfassen von Kommentaren bitte Anmelden.