| |
 |
| Sicherheitslücke im Mozilla, Firefox & Thunderbird unter Windows |
|
|
Veröffentlicht durch XTaran am Freitag 09. Juli 2004, 10:42
Aus der Mit-OSS-geht-das-Patchen-schneller Abteilung
|
|
|
|
|
Peacemaker weist uns auf einen Golem-Artikel hin, in welchem berichtet wird, daß in Mozilla, Firefox und Thunderbird unter Windows vorgestern eine kritische Sicherheitslücke entdeckt wurde und auch innerhalb eines Tages gefixt und Updates veröffentlicht wurden.
|
|
|
|
|
|
Die Sicherheitslücke betraf das shell:-Protokoll und erlaubte über eine andere Sicherheitslücke in Windows das Ausführen beliebigen Codes. Das shell:-Protokoll wird durch den Patch komplett deaktiviert.
|
|
|
|
< Qt 4 Technology Preview 1 | Druckausgabe | Zweite Schweizer Unix Konferenz SUCON > | |
|
|
Diese Diskussion wurde archiviert.
Es können keine neuen Kommentare abgegeben werden.
|
|
|
|
|
|
|
|
|
Also dem Artikel entnehme ich, dass die Sicherheitslücke eigentlich ein Fehler im Windowssystem ist. Die Jungs vom Mozilla waren nur mal so freundlich und haben die problematische Funktion deaktiviert, die Microsoft erst mit dem Service Pack 2 fixen wird.
|
|
|
|
|
|
| |
|
|
|
|
|
|
|
|
Die Frage ist wohl eher, ob das alles auch im IE funktioniert...
|
|
|
|
|
|
|
|
|
|
|
|
|
Tun Sie. Mozilla 1.7.1 rendert die Links gar nicht mehr, IE tut wie Mozilla 1.7, buggy.
Getestet auf Win2k im Geschäft.
|
|
|
|
|
|
|
|
|
Von Anonymer Feigling am Friday 09. July 2004, 13:20 MEW (#6)
|
|
|
|
|
nein, im ie funktioniert's eben nicht!
und das ist genau das problem: m$ nützt das wissen über die sicherheitslücken in ihrem proprietären closed source os aus: statt dass sie die sicherheitslücke im os fixen würden, schreiben sie nur workarounds dafür in allen ihren anwendungsprogrammen, wodurch die programme der konkurrenz (eben z.B. mozilla) künstlich unsicher werden! eine saugemeine strategie!
|
|
|
|
|
|
|
|
|
|
|
|
|
IE 6.0.2800.irgendwas: geht, ob's du's glaubst oder nicht.
|
|
|
|
|
|
|
|
|
Von Anonymer Feigling am Friday 09. July 2004, 12:56 MEW (#3)
|
|
|
|
|
soll das etwa eine neue m$ strategie sein?:
extra insgeheim sicherheitslücken ins betriebssystem einbauen, welche dann zusätzliche sicherheitsmassnahmen in den anwendungsprogrammen (hier browser) benötigen, um so die programme der konkurrenz, welche keine solche schutzmassnahmen gegen das absichtlich unsichere os haben, künstlich "unsicher" zu machen.
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Hmm... Glaube ich erst, wenn eine Funktion "BOOL WINAPI EnableBugfreeMode(BOOL fEnable)" auftaucht. ;-)
--
Addicted by code poetry...
|
|
|
|
|
|
|
|
|
|
|
|
|
Warum soll da Microsoft Schuld dran sein? Wenn jemand eine Funktion von Windows fuer irgendwas verwendet, ist wohl automatisch Microsoft schuld, wenn der Typ den input nicht kontrolliert.
Link zu full disclosure:
http://archives.neohapsis.com/archives/fulldisclosure/2004-07/0287.html
Hey, die Funktion heisst "shell:", wer wuerde sowas in einem Browser aktivieren? Ah, Mozilla leitet einfach mal alles weiter und macht eine Blacklist welche Protokolle nicht erlaubt sind. Wer hat jemals das Protokoll "shell:" verwendet? Wer hat eigentlich jemals etwas anderes ausser http:, ftp: und file: als URI im Browser verwendet? Klar gibt es andere Protokolle, aber muss ein Browser die alle ans Betriebssystem weiterleiten? Wenn ihr gopher:, telnet:, ssh:, bt: oder was auch immer einschalten wollt: macht nur. Aber wenn mein URI Handler nun auch noch das sh: Protokoll kann? Muss Mozilla das automatisch unterstuetzen?
Alle die Microsoft jetzt irgendwas unterstellen wollen: Microsoft stellt eine Funktion zur Verfuegung, die halt nicht sicher ist. Wer diese Funktion verwendet, muss verdammt nochmal aufpassen. Da lamentieren alle ueber die Sicherheit von Windows und sind dann erstaunt, dass ein URI-Handler die URI interpretiert genau wie er sollte und halt noch ein Protokoll mehr hat. Frueher hatte Mozilla die Protokolle doch selbst verwaltet, sind die zu bequem geworden?
Aus meiner Sicht ist der Browser die Schnittstelle nach aussen, und nicht der URI-Handler. Der Browser soll auch kontrollieren, was er durchlassen will und was nicht.
Erinnert ihr euch noch? URI-Handler sind gefaehrlich:
http://www.securityfocus.com/bid/5478/info/
http://www.kde.org/info/security/advisory-20040517-1.txt
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
sicher, das problem ist nur, waere das ein OS-URI-Handler, dann wuerde man den handler und nicht firefox patchen. der fehler sitzt im handler, nicht in mozilla, und deshalb ist auch der handler und nicht mozilla das sicherheitsloch. Aber: Mozilla erleichtert den zugang zu diesem loch, was es sicher auch schuldig macht. aber hauptsuender ist der handler.
just my 0.02$
--
PPC: Penguin Powered Computing
|
|
|
|
|
|
