Mozilla Suite, Firefox & Thunderbird mit Sicherheitsupdates

#1 Bitte updaten!


http://mozillazine.org/talkback.html?article=4964

Weitere Infos (Patch erspart Komplettdownloads):
http://mozilla.org/security/shell.html


Hinweis:
Es reicht aus, diese xpi-Datei zu laden und in Mozilla / Firefox / Thunderbird wie eine Erweiterung zu installieren:

h*tp://ftp.mozilla.org/pub/mozilla.org/mozilla/releases/mozilla1.7.1/shellblock.xpi

Ein Download der jeweiligen Komplettversion ist nicht nötig. Die Installation der xpi funktioniert unabhängig von der Sprachversion der Software!

#2 Hier noch mal Infos in deutscher Sprache damit das auch jeder versteht.

http://www.heise.de/newsticker/meldung/48966
http://ww.onlinekosten.de/news/artikel/14980
http://www.golem.de/0407/32265.html

winfuture bringt die Sache sehr schön auf den Punkt!

Zitat

Kurz: Die Mozilla Foundation hat eine Sicherheitslücke behoben, für die Microsoft verantwortlich ist und hilft damit gleich mehreren Programmen. Übrigens wird das Service Pack 2 für Windows XP diese Lücke ebenfalls schließen...

http://winfuture.de/news,15540.html

Gruß
pcfreak

#3

Zitat

Übrigens wird das Service Pack 2 für Windows XP diese Lücke ebenfalls schließen...

Und das nach 2 Jahre,die Lücke ist nämlich seit 2002 bekannt !!!

Mahlzeit
Ajax

#4 @Ajax

Hast Du dazu eine Quellenangabe? Wo steht das?

#5 @pcfreak

Mozilla Issues - Tested on Mozilla 1.7

Zitat

Note IE SP1 supposedly stopped access to local files BUT this also works on IE 6.0 fully patched

Internet Explorer 6 Service Pack 1
File Name:ie6setup.exe
Download Size:480 KB - 79324 KB
Date Published:9/9/2002
Version:6_sp1

#6 Tut mir leid, aber komm ich jetzt nicht mit!

Wo steht da was von dieser Lücke? Bei der Angabe zum SP1 des IE?

Wenn ich das richtig beim Mozila-Link verstehe steht da nur dass das Problem auch mit den IE SP1 auftritt, auch wenn dieser voll gepatched ist!

Wo steht da das MS das Problem 2002 kannte?

Golem Update

Zitat

Da Microsoft das Sicherheitsloch in Windows erst mit dem Service Pack 2 für Windows XP beheben will, steckt das Sicherheitsleck auch im Internet Explorer.

http://www.golem.de/0407/32265.html

#7

Zitat

Joshua Perrymon als Entdecker der Schwachstelle hat eine Sicherheitslücke in den oben genannten Browser-Versionen gemeldet, über die Shell-Funktionen von präparierten Webseiten ausgeführt werden können, die unter Umständen Sicherheitseinstellungen des Browsers ändern können.

http://www.firewallinfo.de/index.php?option=content&task=view&id=2354&Itemid=

http://secunia.com/advisories/12027/

#8

Zitat

Wo steht da das MS das Problem 2002 kannte?

Note IE SP1 supposedly stopped access to local files
Angeblich wurde ja dieses Windows-Problem (kein eigentliches Browserproblem) mit dem IE-SP1 von 09.09.2002 (wie es sich später herausstellte,nicht richtig) behoben.
Du kannst ja vielleicht bei M$ nachschauen was alles mit IE-SP1 vermeintlich gefixt wurde.

Firewallinfo stellt das Problem eher auf dem Kopf

Zitat

Das Problem ist, Mozilla sperrt nicht den Zugriff auf "shell: URI handler", was Webseiten ermöglicht, beliebige lokal installierte Programme aufzurufen, die mit definierten Dateiformaten verknüpft sind.

Das eigentliche Problem ist die Art wie "shell: URI handler" vom BS gehandhabt wird !!!
Das wird auch mit supposedly stopped access to local files gemeint.
Deshalb war ja auch nur die Windowsversion der Browser betroffen.

Bei Secunia wird das Problem direkt angesprochen

Zitat

The vulnerability affects Mozilla, Mozilla Firefox, and Mozilla Thunderbird on the Microsoft Windows XP platform due to the way the "shell:" URI handler is used and implemented on Windows XP...
Multiple exploits in Internet Explorer also utilise "shell:" functionality.

Ich möchte jetzt nicht M$ für Schwachstellen in Firefox/Mozilla verantwortlich machen.
Fakt bleibt aber daß die verantwortungslose Mitwirkunk von M$ diese Schwachstelle erst möglich machte.