Kritische Sicherheitslücke in mehreren Browsern

1st Official Post
    Quote

    Eine von Sicherheitsexperten als bedrohlich eingestufte Schwachstelle im Zusammenhang mit gesicherten HTTPS-Verbindungen und Webproxies scheint in mehreren gängigen Browsern vorhanden zu sein.

    Sofern ein Proxy entsprechend manipuliert wird, lässt sich HTML- und Script-Code auch in eine verschlüsselte Verbindung einschleusen, teilte man mit.

    Werden die entsprechenden Vorkehrungen getroffen, so könnten Cyberkriminelle auf diese Weise Identitätsdiebstahl begehen. Laut Sicherheitsexperten soll dies nur bei cookiebasierten Anmeldungen der Fall sein. Darüber hinaus könnte auch der jeweilige Inhalt von Webseiten verändert werden. Neben den angesprochenen Möglichkeiten können sich die Experten auch weitere Angriffs-Szenarien vorstellen. Welche damit genau gemeint sind, kam nicht zur Sprache.

    Schon Anfang dieses Jahres wurde Microsoft auf dieses Problem aufmerksam. Die Entwickler von Mozilla haben sich der Schwachstelle angenommen und diese mit dem Update auf Version 3.0.11 bereits beseitigt. Nach einer weiterführenden Untersuchung wurde nun bekannt, dass mehrere Browser von der kritischen Lücke betroffen sind. Zu ihnen zählen häufig eingesetzte Produkte wie Opera, Safari, Chrome und der Internet Explorer. Mit den zugehörigen Updates ist vermutlich in den kommenden Tagen zu rechnen.

    Welche Browser-Versionen konkret von dieser Schwachstelle betroffen sind, lässt sich in einer von SecurityFocus veröffentlichten Liste einsehen.


    Quelle: http://winfuture.de/news,48914.html

    Hier gehts zur liste -> http://www.securityfocus.com/bid/35380

    Du merkst, dass ein Bug an dir hoch krabbelt. Du findest ihn nett und nennst ihn Exploit.

    Der Artikel vernachlässigt ein wichtiges Faktum, nämlich, dass wer immer die aktuellste stabile Version einsetzt, deutlich besser geschützt ist und wie man sieht war Mozilla hier am Schnellsten. Generell liest sich der Artikel sehr... nunja... "populärwissenschaftlich".

    Ebenso könnte man eine generelle Angreifbarkeitsanalyse bei Forensystemen machen. Da es genügend updatefaule Admins gibt, ließen sich auch dort massenweise in unter 5 Minuten angreifbare Boards finden. Beim 3er kommt es jetzt zwar seltener vor, dass welche mit <= 3.0.3 rumlaufen, wo noch eine SQL Injection existierte, aber man findet so wahnsinnig viele alte vB Foren im Netz und auch WBB 2.2er oder WBB 2.3.xer in den Versionen, die noch sehr leicht angreifbar sind, gibt es wie Sand am Meer.

    Solange sich da die Mentalität der Menschen nicht ändert, wird sich da nichts tun. Man kann es wie mit dem Ökoboom vergleichen. In letzter Zeit scheint sich eine gewisse Grundbewussheit zu Lebensmitteln wieder zu entwickeln und man scheint wieder darüber nachzudenken, woher die Erdbeeren im Dezember kommen. Bei Software ist es den meisten Menschen egal, dass sie im Zweifelsfall ihre Privatssphäre entblößen oder im Falle von Forenadmins auch die Privatssphäre ihrer User, wenn sie sich angreifbar machen bzw. vernachlässigend handeln.

    Quote from Geronimo

    Klar. Aber gerade beim Firefox haben - wie ich beruflich immer wieder feststelle - enorm viele Benutzer die nervigen Updates abgeschaltet.

    Selber Schuld! Nur, weil der Endnutzer die Aktualisierungen ignoriert ist ein Programm an sich nicht unsicherer.

    PS: Die Updates zeigen, dass an Problemen gearbeitet wird, von daher hat das schon mal nichts mit nervig zu tun. Dummschwätzerei von Benutzern, denen die Sicherheit ihres PCs nicht primär wichtig ist.

    MfG Markus Zhang (aka RouL)

    Quote from RouL

    PS: Die Updates zeigen, dass an Problemen gearbeitet wird, von daher hat das schon mal nichts mit nervig zu tun. Dummschwätzerei von Benutzern, denen die Sicherheit ihres PCs nicht primär wichtig ist.

    Das hört man gerade von Menschen die den ganzen Tag vor dem Rechner sitzen. Sie möchten einfach mit ihrem Rechner arbeiten können und ihn nicht ständig pflegen müssen. Für sie wäre es problematisch wenn sich der Browser in einem ungünstigen Augenblick entschließt sich zu aktualisieren. Viele sind auch schlicht und ergreifend überfordert wenn für sie unerwartete Meldungen erscheinen. Ich glaube die vermeintlich von einem veralteten Browser ausgehende Gefahr wird oft überschätzt. Selbst in den nicht gerade wenigen Firmen die noch immer den Internet Explorer 5 einsetzen gibt es kaum Probleme. Und: Ich brauche schließlich auch Aufträge. :D

    Also ich finde das Update des Firefox sehr dezent. Der downloadet artig im Hintergrund, wenn die Leitung frei ist, und wenn er durch ist, poppt eine Mitteilung auf (wie: Alle Downloads abgeschlossen), dass das Update durch ist. Beim nächsten Browserstart kommt kurz eine Dialogbox, die schnell wieder weg ist und sieh an, Firefox ist aktuell.

    Das einzige, was man ggf. als nervig empfinden könnte, sind die Addons, weil die den Firefox am Starten hindern, wenns Updates gibt. Aber sonst würd ich eher sagen, dass es den wenigsten überhaupt auffällt, dass sich der Firefox aktuell hält.

    Diskussion über Forensoftware, CMS und Wikis? Dann klick das Haussymbol links* an! :)
    Murat HD: Apple iMac 10,1 (21.5") - Mac OS X 10.6 Snow Leopard - Firefox 4.0
    Darwin murathd.localdomain 10.5.0 Darwin Kernel Version 10.5.0: Fri Nov 5 23:20:39 PDT 2010; root:xnu-1504.9.17~1/RELEASE_I386 i386
    RIP Murat ;(

    * Wer den Äppel- oder einen der Volcano-X-Styles nutzt, muss rechts anklicken.

    • Official Post

    Ich muss das hier auch mal loswerden (passt ja gerade):

    Ich finde persönlich das Updateverhalten von Firefox inklusive der Plugins und auch die einfache Integration von Plugins einfach nur herausragend vorbildlich! Eleganter, einfacher, besser zu bedienender geht es wohl kaum. Mich hat das Verhalten noch nie gestört, im Gegenteil, ich finde es inzwischen toll zu sehen, wie das alles so schön automatisch geht und alles ohne dass man sich großartig Gedanken darum zu machen braucht. Ein Großes Lob an Mozilla … :)

    "Viribus Unitis"

    Harald Székely
    Designer

    Ich finde das auch recht elegant gelöst. Warum man dem Infofenster keine Schaltfläche zum Schließen verpasst hat verstehe ich allerdings nicht. Nach dem Aktualisieren der Erweiterungen hat man was die Schaltflächen angeht lediglich die Möglichkeit sie erneut zu aktualisieren. Was nicht so wirklich sinnvoll ist. :D Man muss warum auch immer das Fenster schließen um die Meldung wegzubekommen. Hat man das aber mal verstanden passt das schon. 8)

    Ich hab' unseren Benutzern mal etwas genauer auf die Finger Browser geschaut. Hier die Rangliste der bei den Meisterschützen von den meisten Benutzern verwendeten Browser:

    • Firefox 3.0
    • Firefox 3.5
    • Internet Explorer 7.0
    • Internet Explorer 8.0
    • Internet Explorer 6.0
    • Opera 9.64
    • Opera 9.63
    • Safari 530.19
    • Google Chrome 2.0
    • Firefox 2.0
    • Mozilla 5.0
    • Firefox 1.5
    • Opera 9.52
    • Safari 528.16
    • Opera 9.80
    • Safari 530.18
    • Opera 9.50
    • Safari 530.17
    • Opera 9.61
    • Safari 525.27
    • Mozilla 1.7
    • Firefox 1.0
    • Safari 531.7
    • Safari 525.20
    • Seamonkey 1.1
    • Mozilla 4.0
    • Konqueror 3.5

Participate now!

Don’t have an account yet? Register yourself now and be a part of our community!

Register Yourself Login