Sicherheitslücke im neuen FireFox

Nun hat es auch den neuen FireFox erwischt: wie das italienische Computermagazin PienatePC.it berichtet, wurde ein schon seit August bekannter Bug, der zu einem gezielten Absturz des Browsers missbraucht werden kann, in die Version 2.0 übernommen.

Ok, keine Panik, so wie ich die Mozilla-Entwickler einschätze, werden sie in den nächsten Tagen ein Fix veröffentlichen.

[via golem.de]

13 thoughts on “Sicherheitslücke im neuen FireFox

  1. Naja, bei solchen Medlungen stellt sich ja auch immer die Frage: Wie groß ist denn die Wahrscheinlichkeit, dass mir der Bug zum Verhängnis wird? D.h. auf welchen Websites treibe ich mich denn so rum?

    Und außerdem würde ich mal (ganz ideologiefrei) behaupten, dass es für den IE wesentlich mehr Updates wegen Sicherheitslücken gab/gibt, als für den FF bis jetzt :-)

  2. Jup, sehe ich genau so, solange man nur auf „regulären“ Seiten surft, sollte nicht wirklich viel passieren.

    Ok, das es auch hier mal zu Problemen kommen kann, zeigen div. Hacks bei AdServern in der Vergangenheit, aber nun ja, was ist schon 100%ig sicher … :)

  3. Ich finde in diesem Zusammenhang allerdings bedenklich, dass der Bug bereits im 2.0RC3 bekannt war[1], seinen Ursprung eigentlich in 1.5.0.6 hatte und für 2.0 nur leicht modifiziert werden musste.

    Obendrein stuft Window Snyder[2], die „neue“ Sicherheitschefin bei Mozilla, den Bug als nicht gefährlich ein[3], wohingegen _vor_ ihrem Auftreten der Bug als Sicherheitskritisch und potentiell zum ausführen von Exploitcode eingestuft wurde. Ich frage mich, ob sie der Anforderung in der für sie völlig neuen Welt wirklich gerecht wird. Marketing sollte in solchen Fällen eher hinten anstehen….im Hause Microsoft mag man das anders gesehen haben….

    Kein wirklich gutes Bild vor allem eines, das man aus der OpenSource Welt im Allgemeinen und der Mozilla Gilde im Besonderen eher nicht gewöhnt ist.

    [1] www.derkeiler.com/Mailing-Lists/securityfocus/bugtraq/2006-10/msg00273.html
    [2] www.heise.de/newsticker/meldung/77859
    [3] www.heise.de/newsticker/meldung/80121

  4. Stimmt schon, aber ich denke, dass das Mozilla-Entwickler-Team aus der Marketing-Ecke, gerade was den angepeilten Releasetermin angeht, gehörigen Druck bekommen hat. Der einstige Geek-Browser FireFox hat sich inzwischen ja zu einem der IE-Ersatz-Browser schlechthin entwickelt, was, Open-Source hin oder her, eine Firma schlicht weg in Zugzwang setzt … mal rein aus Sicht des Marketings betrachtet.

    Was du Postion von Fr. Snyder angeht .. nun ja, darüber lässt sich streiten. Vielleicht wird Sie ja auch für solche „Fauxpas“ noch von Ihrem alten Arbeitgeber entlohnt .. wer weiss, wer weiss .. :)

    Aber mal zurück zum Thema, hat jemand die besagte URL
    lcamtuf.coredump.cx/ffoxdie.html mal auf nen IE oder Opera in die Adresszeile getippt? Bei mir zumindest führte der Aufruf in beiden Browsern zwar nicht zu einem Absturz, allerdings ließ sich weder der Opera (9.01) noch der IE (6.0.2900 sp2) danach noch bedienen. Erst durch einen Kill des entsprechenden Tasks ließ sich der jeweilige Browser beenden und nutzen.

  5. Window Snyder… *LOL* – bei dem Vornamen war ja klar, dass sie bei Microsoft Sicherheitschefin war :)

    Und Verschwörungs-Theoretiker können jetzt mutmaßen, dass ihr Wechsel von MS zum FF-Team eine dunkle Geheimoperation des Monopolisten ist, um das Image des Firefox von innen heraus durch massive Sicherheitslücken zu untergraben – die o.g. Herabstufung der Fehlergefahr ist ja schon ein deutliches Anzeichen dafür…

  6. Und eben jenes Verhalten darf sich an dieser Stelle nicht etablieren. Sonst ist das, was einst gut war ebensowenig zu gebrauchen wie das, was im Prinzip schon immer schlecht war ;). Alternativen werden eben nur dann genommen, wenn sie mehr zu bieten haben. „Mehr“ ist ganz gewiss nicht mit „Mehr Features“ oder „Mehr Releases p.a.“ gleich zu setzen.

    Selbst der hinterletzte Chip-Leser dürfte inzwischen begriffen haben, das ein Surfgerät ein Mindestmaß an Sicherheit bieten muss. Es darf nicht passieren, sei es nun im kommerziellen oder Non-Profit Umfeld, dass das Marketing bestimmt, wann Technik ausgereift, stabil und sicher ist.

    Die Community hätte sicher gerne noch eine Weile auf FF2.0 gewartet, wenn dafür solch gravierende Mängel garnicht mit in’s Release gekommen wären…

    Apropos gravierend:

    Mozilla/5.0 (X11; U; Linux i686; en-US; rv:1.8.0.7) Gecko/20060921 sagt:
    ———————–schnipp———————–
    CONGRATULATIONS!

    Your browser is probably not
    vulnerable to this attack.

    (You did use Firefox, right?)
    ———————–schnipp———————–

    NARF! Der Exploit scheint mir überarbeitungswürdig^^

  7. Die Community vielleicht, aber schauen wir doch mal kurz in Richtung Redmond: Microsoft arbeitet fieberhaft an der deutschen Final Version des IE7. Laut den niederländischen Marktforschern OneStat (www.silicon.de/enid/business_software/22974) ist Deutschland für FireFox der wichtigste Markt, da der Mozilla-Browser hier die größte Verbreitung hat. Was liegt da näher, als den Browser auf Teufel komm raus noch vor dem deutschen IE7 zu veröffentlichen. Ein neuer BugFix bzw. ein daraus resultierender RC hätte den ganzen Zeitplan eventuell durcheinander gebracht.

  8. Nun….dann wäre es halt später geworden. Ich finde die Situation im Moment absurd. Man streitet sich auf der einen Seite mit den debian Entwicklern über die Verwendung des Namens „Firefox“ (wird in debian ja in Zukunft nicht mehr so heißen….dürfen….) wegen der nicht nachprüfbaren „Patchqualität“ wärend man selbige an gerade diskutierter Stelle sträflich vernachlässigt. Aus [1] zitiere ich mal den relevanten Absatz:

    „Mike Schroepfer, Vizepräsident der Mozilla Corporation, erklärte dazu in einem Interview gegenüber Internetnews.com, dass er mit der Situation nicht glücklich ist – schließlich ist Mozilla stolz auf seine Open-Source-Wurzeln, und das Debian-Team gehört in der Open-Source-Welt fraglos zu den Guten. Aber Schroepfer hat auch ein Problem: „Wir unterliegen gewissen Zwängen und Regeln, die wir beachten müssen, um unsere Markenrechte zu verteidigen“.

    Die Debian-Entwickler, so Schroepfer, würden zudem ihre Patches nicht zur Begutachtung vorlegen. Die Mozilla Corporation besteht jedoch auf einer solchen Kontrolle, sollen die geänderten Programmversionen unter dem Original-Namen weiterverbreitet werden: Das Unternehmen will verhindern, dass möglicherweise fehlerhafte Versionen ihrer Programme den guten Namen der Mozilla-Produkte beflecken.“

    Mhhh….das heißt für mich, dass „Iceweasel“, so der neue Name von Firefox in debian, potentiell „sicherer“ bzw. „bugfreier“ ist als der „echte“….oder ist’s genau anders rum, weil mozilla.org die besseren patches backt?….Diese Art von Unsicherheit können wir im Open Source Lager nicht gebrauchen, sie ist kontraproduktiv. Die Aufwände für das Marketing *sowas* wieder glatt zu bügeln sind erheblich höher, als eine Releaseverschiebung um einige Tage oder gar Wochen zu rechtfertigen.

    [1] www.heise.de/open/artikel/79760

  9. Die Sache mit den Patches ist natürlich etwas knifflig, wobei hier wohl eher „nur“ User, die Debian (oder eine auf Debian resultierende Distribution ) als OS nutzen, die Leidtragenden sein werden. Für alle anderen (Windoof User) sollte sich diese Frage erst gar nicht stellen.

    Trotzdem wäre es bestimmt interessant, welche Beweggründe die Debian-Entwickler haben, Ihre Patches nicht Mozilla zur Begutachtung vorlegen. Ein Verweis auf den Debian-Gesellschaftsvertrag halte ich angesichts der Lage als solche für nicht tragbar, auch wenn sich aus diesem einige Gründe ableiten lassen.

    Was das Marketing angeht, so stimme ich dir im Fall Debian vs. Mozilla zu. Aber, Gesetz dem Fall, Mozilla hätte den Release der FF 2.0 noch ein paar Tage/Wochen hinausgezögert und Microsoft hätte mit dem Release der IE7 Final DE gleichgezogen, hätte meiner Meinung nach Mozilla den kürzeren gezogen und einige User wieder in Richtung Microsoft verloren. Ich denke da in erster Linie an Otto-Normal, der sich höchstens alle 2 – 3 Monate mal einen neuen Browser installiert und ausprobiert. Durch die, für mich zumindest, überraschende Veröffentlichung des IE7 hat Microsoft auf jeden Fall einen Schritt getan, der Mozilla zum Handeln gezwungen hat .. unabhängig ob OpenSource oder nicht. Auch die Mozilla Corporation ist ein Unternehmen, das Rechnungen bezahlen muss und, korrigiere mich, wenn ich das falsch sehe, IMO kein Produkt auf dem Markt, das aktiv Geld in die Kassen bringt.

  10. Natürlich stimmt es, dass dieses Gezänk den gemeinen Windowsuser technisch wenig juckt. Allerdings hinterlassen solche Vorkommnisse in der Windowswelt leider idiologisch ihre Spuren.

    Was die wirklichen tieferen Beweggründe der debian Maintainer betrifft so muss ich passen. Das würde sicher ein intensives Forschen in den Maillinlistenarchiven (beider Seiten) klarstellen.

    In Bezug auf Anzahl und Umfang – und darauf begründet sich die so viel zitierte „ungenügende Kooperation“ der debian Maintainer scheinbar – betrifft, finde ich [1] sehr aufschlussreich. Wenn man die leidige Lizenzfrage nach dem Branding mal außer Acht lässt, scheint das „sie patchen uns zu viel“ ja der größte Streitpunkt zu sein. Das .diff zwischen dem debian Release und dem Vanilla Release hat lt. diesem Blog „exactly 2654 lines of diff“. Weiter heißt es dort: „That’s not that many changes, and most of them were taken from either some Mozilla® CVS trunk or the Mozilla® Bugzilla™. And most of those that were not taken from there have been sent, except those that really don’t make much sense outside Debian. So, where are these frozen API changes ?“. Unterstellen wir mal, dass das war ist…kann man da wirklich von ungenügender Kooperation und nicht eingesendeten Patchsets reden. Ich denke, die wahren Probleme liegen woanders…wo genau sollten beide Teams schnellstens erörtern. Wer [2], wundert obendrein sich ein bisschen über das „gute Distro/schlechte Distro“ Spiel.

    Ich bin mir nicht sicher, ob Microsoft durch eine Releaseverschiebung wirklich massiv Boden gutegemacht hätte. Das ist mir irgendwie zu hypothetisch ;). Fakt ist im Moment: der IE7 bietet kein Feature, welches der FF nicht bereits in 1.5 bereit stellt. Tabbed browsing, RSS & Co. sind aus Firefox Sicht ein alter Hut. Insofern wirkt – um doch nochmal hypothetisch zu werden – die Bequemlichkeit der User: selbst ein automatisches Update auf IE7 bringt niemanden dazu wieder umzusteigen ;)

    Abgesehen von Spenden, dem Verkauf von Merchandise Artikeln und „strategischen Partnerschaften“ mit IT-Größen, hat die Mozilla Foundation m.W. keine Einnahmen. Diese Posten scheinen allerdings groß genug zu sein um das Konstrukt aufrecht zu erhalten und ausgeglichen genug um die Unabhängigkeit zu wahren.

    [1] web.glandium.org/blog/?p=97
    [2] web.glandium.org/blog/?p=99

  11. Wer jetzt immer noch Firefox benutzt, sollte eigentlich zum Entrichten einer Strafsteuer verpflichtet werden.

    Der Hintergrund dieser wieder einmal lange verschwiegenen Sicherheitslücke ist klar:

    Der Mozilla Foundation gehen die Spendengelder aus.

    Also versucht man nun, auf illegale Art und Weise mit Hilfe der zum Glück inzwischen deutlich nachlassenden Beliebtheit dieser hoffnungslos verwanzten Wurm- und Virenschleuder Firefox an Kapital zu gelangen.

    Firefox war, ist und wird immer der mit deutlichem Abstand unsicherste Internetbrowser sein.

    Leute, es gibt Alternativen, aufwachen!!!

    Opera, IE7, Safari, Konqueror.

    mywebpages.comcast.net/SupportCD/FirefoxMyths.html

  12. So weit so gut, nur die von dir aufgeführte Liste kann ich für jeden Browser erstellen, egal ob er nun von der Mozilla-Stiftung, Apple, Microsoft oder einem anderen Hersteller stammt. Ein Blick auf Webseiten wie www.securityfocus.com reicht aus, um z.B. Bugs etc ausfindig zu machen. Was Dinge wie Features, Erweiterbarkeit etc angeht, da muss jeder selber wissen was er braucht und welches System das Gewünschte zur Verfügung stellt.

    Welchen Browser man letztendlich benutzt ist doch im Großen und Ganzen nur eine Frage der „Religion“ als alles andere :)

Comments are closed.