![]() |
|
|
![]() |
|||||||||||||
![]() |
||||||||||||||||
|
![]() |
#1 |
Registriert seit: 07.09.2003
Ort: 50259 Pulheim
Beiträge: 6.678
|
Mozilla und Firefox geben Inhalte des Speichers preis
Ein Fehler in der JavaScript-Implementierung der Websuite Mozilla und des Standalone-Webbrowsers Firefox offenbart Angreifern Teilinhalte des Hauptspeichers. Unter Umständen sind darin vertrauliche Daten aus vorhergegangenen oder noch aktiven Browser-Sessions enthalten. Die Schwachstelle findet sich in der Replace()-Funktion. Bei Lambda-Expressions als zweitem Argument, also der Angabe einer Funktion statt eines Parameters, liefert die JavaScript-Engine noch Teile des Speichers hinter dem resultierenden String mit.
Der Sicherheitsdienstleister Secunia hat eine Demo zu der Schwachstelle auf seinen Seiten veröffentlicht, mit der Anwender prüfen können, ob ihr Browser verwundbar ist. Bei einem Test in der Redaktion von heise Security zeigte die Demo Teile eines zeitgleich geöffneten Fensters an, in der eine Online-Banking-Verbindung aktiv war -- unter anderem auch den Loginnamen. Betroffen sind sowohl die Windows-Versionen von Firefox 1.0.1, 1.0.2 und Mozilla 1.7.6 als auch die Linux-Versionen. Laut Eintrag in der Mozilla-Fehlerdatenbank ist der Fehler in den gegenwärtigen Entwicklerversionen bereits behoben. Bis zur Veröffentlichung einer offiziellen Version hilft nur, JavaScript abzuschalten. Laut des Bugzilla-Eintrags war der Fehler bereits 1997, also noch zu Netscape-Zeiten, bekannt. Zwar versuchte man ihn im Jahre 2000 zu korrigieren, wie sich jetzt herausstellte gelang dies aber nur zur Hälfte. (dab/c't) Quelle:
__________________
Grüße Thorsten Größchen "Ich habe nicht die Spitze der Nahrungskette erklettert, um Gemüse zu essen." ![]() |
![]() |
![]() |
Sponsored Links | |
|
![]() |
#2 |
Registriert seit: 04.02.2004
Ort: MG
Beiträge: 11.388
|
Javascript abgeschaltet, Danke Thorsten.
|
![]() |
![]() |
![]() |
#3 |
Registriert seit: 31.01.2005
Ort: Lörrach
Beiträge: 2.485
|
Ein wenig OffTopic
Wär's beim IE passiert, wär' überall großes Geschrei nach dem Motto "typisch Microsoft", "sowieso Absicht, damit MS schnüffeln kann" usw.
PS: Ich weiß, das hat mit dem Thema nicht viel zu tun, aber ich muss da wieder an die fast überall im Web präsente Anti-Microsoft-Hetze denken.
__________________
Galerie "Bewohnern perspektiver, fragiler Gebäude wird empfohlen beim ballistischen Umgang mit geologischen Kleinformen große Vorsicht walten lassen." |
![]() |
![]() |
![]() |
#4 |
Registriert seit: 07.09.2003
Beiträge: 4.256
|
Der Fehler ist aber wirklich uralt. Auf einer Computermesse hat man mir damals sogar Exploits angeboten, als Bausatz ...
Und das geht jetzt wieder, unter Firefox ? Nichts ist unmöglich ![]()
__________________
Gruß Fritz |
![]() |
![]() |
![]() |
#5 |
Registriert seit: 04.10.2003
Ort: d 20357
Beiträge: 3.311
|
Ich glaube, dass die Bemerkung so nicht ganz richtig ist. Es gab vor kurzem unter anderem im Spiegel einen kritischen Bericht zu Firefox.
Von dem Augenblick an, wo Safari an den Komfort von Firefox heran kommt, vergesse ich Firefox. http://www.spiegel.de/netzwelt/techn...347592,00.html |
![]() |
![]() |
Sponsored Links | |
|
![]() |
#6 | |
Registriert seit: 31.08.2004
Beiträge: 425
|
Re: Ein wenig OffTopic
Zitat:
|
|
![]() |
![]() |
![]() |
#7 |
Registriert seit: 07.09.2003
Beiträge: 4.256
|
Wie, wo, was ?
Die Update-Funktion greift noch nicht ...
__________________
Gruß Fritz |
![]() |
![]() |
![]() |
#9 |
Registriert seit: 31.08.2004
Beiträge: 425
|
Die 1.0.3 RC gibt's nicht per Auto-Update...
Außerdem: nicht Java muss abgestellt werden, sondern JavaSCRIPT, was reichlich sinnlos ist, da Script kaum Seiten funktionieren... Außerdem ist die Sicherheitslücke bisher nicht ausgenutzt worden, es reicht also, auf die offizielle 1.0.3 zu warten. |
![]() |
![]() |
![]() |
#10 | |
Registriert seit: 07.09.2003
Ort: 55624 Gösenroth
Beiträge: 1.056
|
Zitat:
Gruss Peter |
|
![]() |
![]() |
Sponsored Links | |
|
![]()
|
|
|