Pufferüberlauf in Firefox

#0
09.09.2005, 19:36
Member
Avatar Gool

Beiträge: 4730
#1 In zahlreichen Versionen von Firefox wurde eine Sicherheitslücke entdeckt, mit der es möglich ist, den Firefox abstürzen zu lassen und evtl. sogar Schadcode auszuführen (bisher gibt es aber noch keine Demo-Exploits, die das können). Das Problem liegt in der IDN-Verwaltung von Firefox. Auch die neue Beta 1 von Firefox 1.5 ist davon betroffen.

http://www.golem.de/0509/40363.html
http://www.heise.de/newsticker/meldung/63746

Nachtrag:
Hier das Beispiel für den Absturz:
http://www.security-protocols.com/firefox-death.html
Achtung! Beim Aufruf dieser Seite stürzt der Firefox ohne Warnung ab! Deshalb sollte nur der diese Seite aufrufen, der weiß, was er tut!

2. Nachtrag:
Deaktiviert man IDN (about:config -> network.enableIDN [=false]) stürzt Firefox nicht ab.
__________
Dies ist eine Signatur! Persönlicher Service: Du kommst aus Berlin? Dann melde Dich per PN bei mir, evtl. können wir einen Termin vereinbaren.
Der Grabsteinschubser
Dieser Beitrag wurde am 09.09.2005 um 19:46 Uhr von Managor editiert.
Seitenanfang Seitenende
09.09.2005, 20:47
Member

Beiträge: 3306
#2 Scheint ein Firefox/Mozilla Problem zu sein. Andere Gecko-basierte Browser haben das Problem nicht.
__________
Bitte keine Anfragen per PM, diese werden nicht beantwortet.
Seitenanfang Seitenende
10.09.2005, 07:03
Member

Beiträge: 462
#3 Frage an die Spezialisten hier.

Diese Änderung (about:config -> network.enableIDN [=false]), wird die -
a) im jeweiligen Profil gespeichert? Sprich, muss ich das in jedem Userkonto, mit jedem Profil machen; oder
b) reicht es, wenn ich dies bei einem Profil eines User-Kontos mit Admin-Rechten vornehme, damit es sich für alle Benutzer am Rechner auswirkt (ähnlich z.B. den Search-Plugins)?

(Firefox 1.0.6 mit WinXP pro SP2 und mehreren Benutzerkonten, diese z.T. auch jeweils mit mehreren Firefox-Profilen)

Gruß und ein schönes Wochenende
RollaCoasta
__________
U can get it if u really want! (J.Cliff)
Dieser Beitrag wurde am 10.09.2005 um 07:08 Uhr von RollaCoasta editiert.
Seitenanfang Seitenende
10.09.2005, 11:54
Member

Beiträge: 686
#4 Firefox (und auch Thunderbird) haben bisher in erstaunlich kurzer Zeit mit Patches auf solche Sicherheitsprobleme reagiert.
Insofern meine ich warten wir ein paar Tage auf eine Reaktion von Mozilla; inzwischen kann man das Risiko geschädigt zu werden getrost auf unter 1 Prozent und damit als vernachlässigbar einstufen.

R
Seitenanfang Seitenende
10.09.2005, 12:17
Member

Beiträge: 1132
#5 Wenn ich mich nicht irre, dann wird bereits auf dem von Managor zitierten Heise-Link (ganz unten auf der Seite) auf einen Patch hingewiesen.
https://addons.mozilla.org/messages/307259.html

Gruß
Heron
__________
"Die Welt ist groß, weil der Kopf so klein"
Wilhelm Busch
Seitenanfang Seitenende
10.09.2005, 12:43
Member

Beiträge: 462
#6 Dann antworte ich mir mal kurz selbst:
Es sind Admin-Rechte notwendig. Beim Versuch das von Heron genannte Patch anzuwenden kam bei mir sonst (als eingeschränkter User) eine Fehlermeldung "...keine Berechtigung ...".

Wie Rherder schon angemerkt hat - die Firefox / Mozilla Leutz sind echt verdammt schnell :yo

Gruß
RollaCoasta
__________
U can get it if u really want! (J.Cliff)
Seitenanfang Seitenende
10.09.2005, 13:21
Member
Themenstarter
Avatar Gool

Beiträge: 4730
#7 Nun ja, ein Patch ist es ja nicht, sondern nur eine Anleitung um die IDN-Unterstützung auszustellen bzw. eine "Erweiterung", die das für den Anwender tut.

Aber immerhin gibt es da was von Mozilla ;)
__________
Dies ist eine Signatur! Persönlicher Service: Du kommst aus Berlin? Dann melde Dich per PN bei mir, evtl. können wir einen Termin vereinbaren.
Der Grabsteinschubser
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren:
  • »
  • »
  • »
  • »
  • »