Hijacking bei Mozilla und Firefox ebenfalls möglich

#1

Zitat

Durch eine kürzlich bekannt gewordene Sicherheitslücke in allen Produkten der Mozilla/Firefox-Reihe einschliesslich neuester Versionen ist es möglich, das komplette Verhalten des Browsers wie Optionen, Startseite, Toolbars etc.von außen zu beeinflussen.

Diese gravierende Sicherheitslücke entsteht durch unsaubere Programmiereung in der Schnittstelle zur Verwaltung von XUL Objekten - Objekten wie Addons, Plugins und Toolbars für Mozilla/Firefox. Diese können weitestgehend restriktionsfrei von Webseiten installiert und gestartet werden, ohne daß Sicherheitsfunktionen des Browsers greifen.

Momentan gibt es keinen Weg, diese Sicherheitslücke zu schließen oder umgehen. Einzig empfehlenswert ist es, bevorzugt vertrauliche Seiten anzusurfen und genau auf das Verhalten des Browsers zu achten. Ein Patch von den Mozilla-Entwicklern ist aber bereits angekündigt und wird wohl in wenigen Tagen erscheinen. Klicken Sie hier, um zum Advisory von Jérôme Athias - dem Entdecker der Sicherheitslücke zu gelangen. Auf der Website wird ebenfalls ein ProofOfConcept vorgestellt. Mehr zu diesem Thema erfahren Sie hier.

http://www.desktopsecurity.de/modules.php?name=News&file=article&sid=181&mode=&order=0&thold=0

#2 Man kann Javascript deaktivieren. Dann fällt es sofort auf, dass es um ein gefälschtes ein Browserfenster handelt.
Javascript einschränken(Hide status bar) hilft auch man muss jedoch genauer hinschauen.
__________
°<- Vorsicht Trollköder und Trollfalle -> {_}

#3

Zitat

Hijacking bei Mozilla und Firefox ebenfalls möglich

Also damit keine falsche Eindrücke entstehen: Die Startseite von Mozilla/Firefox kann nicht wie bei dem IE hijacked(verändert)werden.

Zitat

Diese gravierende Sicherheitslücke entsteht durch unsaubere Programmiereung in der Schnittstelle zur Verwaltung von XUL Objekten - Objekten wie Addons, Plugins und Toolbars für Mozilla/Firefox. Diese können weitestgehend restriktionsfrei von Webseiten installiert und gestartet werden, ohne daß Sicherheitsfunktionen des Browsers greifen.

Das ist Spoofing und es wird nichts auf dem Rechner installiert oder im Browser dauerhaft verändert.Mit dem Beweis obiger Aussage bleibt uns der Admin der Seite übrigens auch schuldig.
Sensationsmacherei scheint ihm wichtiger zu sein als eine objektive Information.

Zitat

Limitations
A bad guy can't read your browser preferences. He doesn't know whether you use large toolbar icons or small ones, what your bookmarks are, or what sort of extensions you have installed.

Das Vorgaukeln (Spoofing) einer Seite ist ein Sicherheitsmanko und wird hoffentlich in Kürze behoben werden.Immerhin reicht schon eine minimale Anpassung des Browsers(Ansicht) an persönliche Bedürfnisse aus,um das Spoofing auffliegen zu lassen.

Gruß
Ajax

#4

Zitat

Man kann Javascript deaktivieren. Dann fällt es sofort auf, dass es um ein gefälschtes ein Browserfenster handelt.
Javascript einschränken(Hide status bar) hilft auch man muss jedoch genauer hinschauen.

Jau das ist, dass was ich tue
Firefox hat da noch nen paar Möglichkeiten, bestimmte Javascript funktionien zu deaktivieren/unterbinden.
Und ich gehe stark davon aus das ich sowas eh merken würde.
__________
E-Mail: therion at ninth-art dot de
IRC: megatherion @ Freenode

#5 Da ich weiterhin Opera verwende und die Entwicklung von Firefox nicht so genau verfolge ist mir bislang auch nicht aufgefallen daß obige Sicherheitslücke eigentlich schon am 27.07 mit einen nightly build behoben wurde.
Der letzte Build ist übrigens vom 01.08
Allerdings ist es dem User nicht zumutbar und auch nicht ratsam daß er sich dauernd nightly builds drüberbügelt.
Daß noch keine neue ofizielle Releaseversion veröffentllicht wurde ergründet sich in der Tatsache daß man sich etwas Zeit nimmt um dann gleichzeitig mehrere bekannte Mängel zu beseitigen.
In der Browserwelt bleibt Mozilla/Firefox neben Opera erste Wahl für alle Win-User.
Mann stelle sich vor Microsoft würde eine öffentliche Seite über unbehobene Mängel seines Browsers führen

Gruß
Ajax

#6 @ajax. das ist leider das problem an mozilla/firefox. die meisten anwender installieren eine der verfügbaren versionen und wiegen sich dann in sicherheit. leider gibt es noch kein benutzerfreundliches system, was vergleichbar zu windowsupdate ist - ergo werden sicherheitslücken kaum bekannt und man muss ständig die aktuellste version fahren - und das ist wirklich unzumutbar.

#7 hehe war ja irgendwie beinahe klar .. man kann jedes Programm patchen und besonders diese die für Plug Ins offen sind...

na und da Mozilla und Co sooooo berühmt werden, werden in Zukunft auch sicherlich einige weitere Bugs auftauchen...
schön allerdings ist das Mozilla und Co so ein simples aber effizientes Bug Management haben und Bugs ziemlich schnell meist in der nightly build schon gefixt sind ... da guckt ihr Microsoft, wa <<- Nachmachen!

Browser Hijacking ist echt die Seuche und beinahe schon die Zukunftviren

by the way. AktiveX <- genau auch hier schleichen sich beim Internet Explorer die meisten Hijacker ein! - wenn das deaktiviert ist haben die generell wesentlich schlechtere Chancen!

Greetz Lp

#8 @vege1r

Wieso soll das unzumutbar sein, man muss ständig updaten um auf der sicheren Seite zu sein - das ist sowieso klar - das ist bei allen Applikationen so.
Tuen natürlich die wenigsten, ist ja auch dann eigenes Verschulden.
Auch deine Anlehnung an "windowsupdate" verstehe ich nicht kannst. Wieso brauchst du ein System um ein Browser zu updaten??
Ich mach ein komplettes "World" update einmal im Monat und dann kommen die ganzen schönen neuen Applikationen drauf
So auch Firefox 0.9.1 und ich kann nur sagen das ist der schnellste Browser den ich je gesehen habe - und vermutlich auch der sicherste. Firefox wird mit jedem release ein wenig besser, ist doch logo. Natürlich musst du updaten, wenn du ein Browser von anno tuplich keine Ahnung was fährst dann ist das ja nicht das Problem der Entwickler. Man kann sehr schön sehen das sich die Entwickler von Firefox/Mozilla jedenfalls bemühen.
__________
E-Mail: therion at ninth-art dot de
IRC: megatherion @ Freenode

#9 Das 0.9.2 ist auch nicht langsamer. das gibt's natürlich hier: http://firefox.stw.uni-duisburg.de/

Schönen Tag.

brainbox
__________
Mozilla/5.0 (Windows; U; Windows NT 5.1; en-US; rv:1.8.0.4) Gecko/20060428 Firefox/1.5.0.4

#10 @xeper:
Ich meinte, daß es für normale Anwender, die lediglich mit Ihrem PC arbeiten wollen nicht angenehm ist, regelmäßig alle ihre Applikationen upzudaten. Daher wäre es schön, wenn die Mozilla-Entwickler ein System einführen könnten, was auf wenige Klicks die ganze installierte Mozilla-Familie auf dem jeweiligen System überprüft und aktuell hält. Nichtsdestotrotz nutze ich auch Firefox (092).

#11 @vege1r

Zitat

das ist leider das problem an mozilla/firefox. die meisten anwender installieren eine der verfügbaren versionen und wiegen sich dann in sicherheit.

Das ist ein Anwender-Problem.
Übrigens ist man ohnehin mit diese Browser sicherer.Diesbezüglich sind wir ohnehin der gleichen Meinung

Zitat

leider gibt es noch kein benutzerfreundliches system, was vergleichbar zu windowsupdate ist

Verschafft denn Windowsupdate die erhoffte Sicherheit ?
Wie lange dauert es i.d.R bis ein Patch vom Zeitpunkt der Bekanntgabe eines Sicherheitsloches zur Verfügung steht,soweit es überhaupt einen gibt

Zitat

ergo werden sicherheitslücken kaum bekannt

Dann würde dieser Thread auch nicht existieren

Zitat

man muss ständig die aktuellste version fahren - und das ist wirklich unzumutbar.

Wenn Du damit die Nightly Builds meinst,ja,muß man aber nicht.
Diese Sicherheitslücke läßt sich auch mit Version 0.9.2 einfach vermeiden(guckst Du oben)
Daß man die aktuellste Releaseversion eines Browsers(oder einer Software) benutzt ist i.d.R üblich ansonsten würden alle Versionsnummer bei 1.0.0 enden
Übrigens werden diese Browser im Gegensatz zum IE auch weiterentwickelt.
Eine im Browser(oder sonstige Software) eingebaute Patchmaschinerie wäre m.E. nicht wünschenswert und würde nur für eine miese Qualität der Software sprechen.
Allerdings,hätten wir nicht das tolle Windowsupdate,würde der IE vermutlich eine dreistellige Versionsnummer haben

Gruß
Ajax

#12 Klar ist es ein Anwender-Problem. Da dieses Problem aber schon immer bestanden hat und auch weiter bestehen wird, ist es schon sinnvoll mindestens eine Meldung auszugeben wenn eine aktuellere Version bereitsteht.

Ein "Multimendia/Internet Pc" hat Browser,Emailclient,2-3 Mediaplayer,2-3 Plugins (Java Runtime Environment,Flash) mindestens ein Schreibprogramm vielleicht noch ein Messenger . Wie soll ein User der sich nicht für Computer interessiert, vielleicht ist ihm nichtmal bewusst das Software upgedatet werden muss, die Updates einspielen und das auch noch möglichst schnell?
Soll er vielleicht täglich die 10 verschieden Seiten der Hersteller, falls er die Hersteller den kennt und täglich am Pc ist, nach den Updates durchsuchen?
Was ist also schlecht an einer Updatefunktion?
__________
°<- Vorsicht Trollköder und Trollfalle -> {_}

#13

Zitat

Klar ist es ein Anwender-Problem. Da dieses Problem aber schon immer bestanden hat und auch weiter bestehen wird, ist es schon sinnvoll mindestens eine Meldung auszugeben wenn eine aktuellere Version bereitsteht.

Unter 'Anwender-Problem' habe ich das 'in Sicherheit wiegen' gemeint

Zitat

ist es schon sinnvoll mindestens eine Meldung auszugeben wenn eine aktuellere Version bereitsteht.

Der von mir angedeutete Nightly Build ist in diesem Sinne nicht als neue downloadbare Version für die Massen gedacht
Nightly Builds sind eher etwas für experimentierfreudige und erfahrene User.
Ich wollte damit bloß andeuten daß eine Lösung des Problems schon gefunden wurde.
Bis zu einer ofiziellen Releaseversion kann man sich ohnehin gegen diese Sicherheitslücke schützen.

Zitat

Wie soll ein User der sich nicht für Computer interessiert, vielleicht ist ihm nichtmal bewusst das Software upgedatet werden muss, die Updates einspielen und das auch noch möglichst schnell?

Ofizielle neue Releaseversionen werden schon auf der Homepage verkündet.

Gruß
Ajax

#14 k dann hab ich etwas vorbeigeredet.

Zitat

Der von mir angedeutete Nightly Build ist in diesem Sinne nicht als neue downloadbare Version für die Massen gedacht
Nightly Builds sind eher etwas für experimentierfreudige und erfahrene User.

Ich meinte nicht, dass jeder neuer Nightly Build angezeigt werden soll. Sondern schwere Sicherheitslücken auch wenn sie selten sind.

Zitat

Bis zu einer ofiziellen Releaseversion kann man sich ohnehin gegen diese Sicherheitslücke schützen.

In der Annahme, dass sie die Sicherheitslücken kennen und ein Howto/Patch dazu haben können sie sich davor schützen.
__________
°<- Vorsicht Trollköder und Trollfalle -> {_}

#15 @vege1r

Ne du das ist definitv Aufgabe des OS'. Stell dir vor jedes Programm hat sein extra update System ** - Ich glaube nicht das, dass das wäre was die Anwender gerne hätten. Wenn schon dann müßte dies von einem ganz anderen System übernommen werden was alle Applikationen verwalten kann. Aber ich denke sowas ist bei Windows nicht realisierbar.

@Ajax

Zitat

Der von mir angedeutete Nightly Build...

Nennt man sowas nicht Snapshot?

@spunki

Zitat

Soll er vielleicht täglich die 10 verschieden Seiten der Hersteller, falls er die Hersteller den kennt und täglich am Pc ist, nach den Updates durchsuchen?

Tja irgendetwas sollte man schon wissen, oder am besten finger vom Computer lassen

Zitat

Was ist also schlecht an einer Updatefunktion?

Nunja sowas gibt es schon - zwar nicht für windows ... aber du glaubs ja nich das ich meine 425 Pakete immer von Hand update und 425 Hersteller Seiten besuche

Aber wie ich schon oben erläutert hab denke ich das so etwas zu windows nicht passt - schon allein deswegen weil von M$ ausgesehen Dinge wie Firefox zb. als Fremdkörper angesehen werden - um eine einheitliche Update Funktion muss sich M$ kümmern - niemand sonst. Weil nur für den Browser lohnt sich das schlicht einfach nicht, den kann man doch au manuell runterladen. Aber sowas wird bei Windows ein Märchen bleiben - es funktioniert einfach nicht weil es nunmal so ist wie es ist. Und für eine einzige Applikation ist eine Updatefunktion ja nicht besonders wichtig, dann kann man auch doch noch die Seite besuchen und nach dem neusten Release schauen.
__________
E-Mail: therion at ninth-art dot de
IRC: megatherion @ Freenode