• Herzlich Willkommen!

    Nach der Schließung von inDiablo.de wurden die Inhalte und eure Accounts in dieses Forum konvertiert. Ihr könnt euch hier mit eurem alten Account weiterhin einloggen, müsst euch dafür allerdings über die "Passwort vergessen" Funktion ein neues Passwort setzen lassen.

    Solltet ihr keinen Zugriff mehr auf die mit eurem Account verknüpfte Emailadresse haben, so könnt ihr euch unter Angabe eures Accountnamens, eurer alten Emailadresse sowie eurer gewünschten neuen Emailadresse an einen Administrator wenden.

Firefox - Sicherheitswarnung

  • Ersteller Ersteller virusette
  • Erstellt am Erstellt am
Status
Für weitere Antworten geschlossen.

virusette

Guest
Im Firefox wurde ein schwerwiegender Sicherheitsfehler entdeckt. Man kann ihn mit speziell präparierten Links dazu bringen, lokale Anwendungen zu starten. Ein Patch ist noch nicht verfügbar, allerdings gibt es einen Workaround.

Für die erfahreneren Benutzer gibt es eine kurze Beschreibung bei heise, für die weniger versierten habe ich das mit ungefährlichen Beispielen und bebildert auf einer Webseite zusammengefasst.

Bitte keine Diskussionen über Vor- und Nachteile von Browsern oder allgemeines Rumgejammer über Programmfehler. Das betrachte ich in diesem Thread als Spam und werde es auch entsprechend würdigen.

UPDATE 30.07.2007

Wie diesem Heise-Artikel zu entnehmen ist, betrifft das Problem inzwischen nicht nur den Firefox sonder anscheinend eine Vielzahl von Programmen. Z.B. Skype und Miranda.

Dafür scheint sich der Fehler auf Window XP-Systeme mit dem Internet Explorer 7 zu beschränken. Den kann man Gottseidank ganz einfach über die Systemsteuerung --> Software deinstallieren. Der IE6 ist zwar nicht das gelbe vom Ei, aber bis dieser Fehler beseitigt ist wahrscheinlich das kleinere Risiko.

UPDATE die Zwote 31.07.2007

Heute wurde vom Mozilla-Team die Version 2.0.0.6 vom Firefox herausgegeben. Sie beseitigt damit den Fehler beim FF.
Davon unberührt sind dieselben Fehler by Skype und Miranda und wahrscheinlich vielen anderen Programmen auch.
Meine Empfehlung bleibt momentan dabei den Internet Explorer 7 zu deinstallieren.
 
das heißt also, dass jemand der nicht über den IE 7 verfügt, nicht durch diese sicherheitslüscke bedroht ist? ich habe hier nur den IE 6 und keines der beispiele funktioniert bei mir. damit bräuchte ich den workaround nicht anzuwenden, solange ich beim IE 6 bleibe, oder habe ich etwas übersehen?

mfg
 
Weder das Beispiel auf Heise, noch auf deiner Seite funktionieren bei mir?
Ich nutze Firefox 2.0.0.5..für welche Versionen soll dieser Bug denn bestehen?

€: Grad gesehn, dass es wohl auch für 2.0.0.5 gelten soll, bekomme aber nur einen Fehler "URI hat falsches Format"

€€: Was sucht sowas eigentlich auf der Hauptseite? Gibt es keine D2 bezogenen News mehr?
 
bei mir startet bei den beispielen outlook statt dem taschenrechner. was bedeutet das jetzt? (und besteht da ein zusammenhang mit der verwendung vom thunderbird? oder hängt das damit zusammen dass der bei mir installierte IE relativ alt ist? )
firefox ist auf version 2.0.0.4 weil das update aus unbekannten gründen nicht funktioniert.

hab aber auf jeden fall mal das workaround gemacht
 
danke für die Hilfe echt nett :) und gut erklärt auch für nicht so PC Wissende wie mich.

gruß perfi
 
Ob der Fehler mit dem IE6 in irgendeiner Form auch funktioniert, weiß ich noch nicht genau.
Genausowenig weiß ich, ob es bei anderen Windows-Versionen in irgendeiner Form ebenfalls funktioniert.
Man sollte aber prinzipiell davon ausgehen.

Was hier bisher einige noch nicht in aller Deutlichkeit verstanden haben. Wenn ich ein lokalen Programm aus irgendeiner Webseite heraus per Link starten kann und ihm Parameter übergeben kann, dann kann damit alles mit dem Rechner angestellt werden bis hin zur vollständigen Zerstörung des Systems oder Umwandlung in einen perfekten Zombierechner. Dagegen wird dann in diesem Fall weder eine Firewall noch ein Virenscanner helfen.

Und warum das auf der Hauptseite steht? Weil viele User hier den Firefox benutzen und davon direkt betroffen sein können.
 
Nun also ich habe das auch bei mir getestet mit Winxp pro Sp1a und einer älteren version des Firefox. IE6

Es wurde zwar nicht wie erwartet der Taschnrechner gestartet aber OutlookExpres. und auch habe ich heraus gefunden das die Sicherheitslücke "UNABHÄNGIG" vom system (Windows versionen; Internet Explorer; FireFox) Funktioniert und auch umgehen lässt also sollte das jeder der Firefox verwendet diese umstellung vornehmen um jegliches restrisiko zu verringern (vermeiden)

zumindest solange bis das gefixt wurde.
 
:top:
Finde es gut, das auf der Mainpage auf eklantante Sicherheitsprobleme hingewiesen wird.
Was mir noch nicht ganz klar ist, sind nur Rechner mit Mozilla + IE 7 gefährdet oder funktioniert nur bei denen die Demo (calc.exe)?
 
Echt doofer Bug,
beim Starten immer alle Lesezeichen/Cookies aus Firefox weg, zig Daten gelöscht ( Desktop ist komplett leer ) und Benutzerprofil wird von Windows allgemein nicht mehr erkannt -> nach jedem Starten Wallpaper und weiteres weg :flopp:
 
Ob der Fehler mit dem IE6 in irgendeiner Form auch funktioniert, weiß ich noch nicht genau.
Zum Vergrößern anklicken....
ok, dann werd ich sicherheitshalber einfach mal davon ausgehen. danke für den hinweis.

Es wurde zwar nicht wie erwartet der Taschnrechner gestartet aber OutlookExpres. und auch habe ich heraus gefunden das die Sicherheitslücke "UNABHÄNGIG" vom system (Windows versionen; Internet Explorer; FireFox) Funktioniert...
Zum Vergrößern anklicken....
outlook soll ja im normalfall starten. es ist ja eigentlich eine mail-anweisung, der eine e-mail adresse übergeben wird.
heise spricht von einer lücke im zusammenhang mit dem IE 7. hast du eine quelle für deine aussage?

mfg
 
Die originale Nachricht bei Heise findet man unter
hier

Da steht, dass der Fehler nur auftritt, wenn IE 7 installiert wurde, da sich wohl die Verarbeitung der URI's ändert.
Das kommt so aus den obigen verlinkten Links net raus.
 
kaioschizo schrieb:
Die originale Nachricht bei Heise findet man unter
hier

Da steht, dass der Fehler nur auftritt, wenn IE 7 installiert wurde, da sich wohl die Verarbeitung der URI's ändert.
Das kommt so aus den obigen verlinkten Links net raus.
Zum Vergrößern anklicken....
Ist schon komisch, Firefox hat ein Sicherheitsproblem, aber nur wenn der IE 7 installiert ist.
Ein Schelm der böses dabei denkt.
 
wobei sich dann die frage stellt, wie man einen vorinstallierten IE (version ka) wirklich wegbekommt. hab das schon mal versucht, aber der kann immer noch von programmen (z.b. software von providern) gestartet werden
 
manziel schrieb:
wobei sich dann die frage stellt, wie man einen vorinstallierten IE (version ka) wirklich wegbekommt. hab das schon mal versucht, aber der kann immer noch von programmen (z.b. software von providern) gestartet werden
Zum Vergrößern anklicken....
Seit XP ist es sehr schwer den IE komplett zu deinstallieren. Ist auch nicht wirklich ratsam das zu tun, da er imo für die Funktion Windows Update benötigt wird.
 
oxidator schrieb:
Ist schon komisch, Firefox hat ein Sicherheitsproblem, aber nur wenn der IE 7 installiert ist.
Ein Schelm der böses dabei denkt.
Zum Vergrößern anklicken....

unterm Strich geht es im prinzip gar nicht. Starte den Windows-Explorer und gib irgendeine Internetadresse oben in der Verzeichnis-zeile ein et voila...

Und den Windows-Explorer rauszubekommen soll nach heimlichen gerüchten auch gehen, aber ob Windows dann überhaupt noch bedienbar ist das wage ich zu bezweifeln.
 
Mit dem Tool XPLite soll eine Deinstallation des IE unter XP möglich sein.

Hier eine Anleitung dazu auf netzwelt.de

Allerdings bleibt dann, wie gesagt, die Funktion Windows Update auf der Strecke.
Und das ist wenig empfehlenswert.
 
Den IE komplett aus dem System zu entfernen ist eine wirklich schlechte Idee bei nem normalen User!


So, kann das Problem nicht nachvollziehen. XP 32bit, FF 2.0.0.5, IE7 und es passiert bei mir gar nichts, wenn ich auf die Testlinks klicke, höchstens ein neues Tab geht auf, fertig.
 
Ich habe es gerade selbst ausprobiert, mit dem FF-Update ist diese Sicherheitslücke anscheinend beim geschlossen.

Leider sind die bei Skype und Miranda und wahrscheinlich bei vielen anderen Programmen auch leider immer noch offen.
 
Mit NoScript bin ich auch sicher, ist vielleicht auch die bessere Empfehlung als der händische Workaround.
 
Status
Für weitere Antworten geschlossen.
Zurück
Oben