Mozilla und Firefox unsicher durch PlugIns !

ich hatte immer gehofft das OpenSource sicher bleibt da dort die ursachen behoben werden und nicht die sympthome gelindert

ich hoffe es werden bald patches rauskommen die diese installations routinen abschaltbar machen
 
So bis ein Patch herausgekommen ist empfehle ich das abschalten der xpiinstaller funktion

gebt in der addressleiste about:config ein und dann im filter xpinstall.enabled den wert setzt ihr nun von true auf false. das wars auch schon nun wekden keine sachen(themes, extensions) mehr über dem xpi installer installiert, wenn man wieder etwas installieren möchte stellt man einfach wieder auf true so einfach ist das.

btw: ganz alleine drauf gekommen *stolz*
 
Seltsamerweise war die Schwachstelle schon seits den XPI Installer gibt bekannt ..
 
ch-b warscheinlich haben die diese vernachlässigt da man ja immer auf install klicken muss
 
naja, letztlich ist es so wie im echten leben: jeder ist für sich selbst verantwortlich und ich muss garnicht überall draufklicken. andererseits ist das vielleicht schonmal ein kleiner vorgeschmack was uns linuxjünger erwartet wenn die verbreitung von linux als desktop-betriebssystem weiter so zunimmt wie in den letzten 3 jahren: wir werden es mit haufenweise viren, trojanern, würmern und rootkits zu tun bekommen und da linux im gegensatz zu win32 ein echtes multiuser-netzwerkbetriebssystem ist und nicht nur eines dass auch netzwerkfähigkeiten hat, ist die angriffsfläche relativ viel größer (wenn auch die opensource-kontrollmechanismen natürlich sehr viel besser sind). und so wird es in zukunft häufiger zu solchen meldungen kommen. ein trauerspiel ...

mfg

bananenman
 
bananen mann dagegen gibt es nur eins immer uptodate bleiben damit auch die neu entdeckten sicherheits löcher sofort gestopft werden.

ich bin übrigens davon überzeugt das ein antivirus programm der falsche ansatz ist der richtige ansatz aus meiner sicht ist es sicherheitslöcher zuschließen und die betroffenen programme so erweitern das sie das vom virus/wurm/trojaner ausgenutze loch absichern zb im fall mozilla wäre es lösbar mit einer whitelist, oder noch besser sie müssten perhand geladen werden und in den richtigen ordner kopiert werden

und noch einmal nicht als root im internet surfen es gibt wirklich keinen grund wieso man das tun sollte aber 1000 wieso nicht
ich könnte damit leben das mein homedir gelöscht würde aber keines falls damit das man mir alles ab "/" killt
 
redlabour schrieb:
s. auch :

http://www.unixboard.de/comments.php?catid=1&id=508

Wer glaubte das OpenSource immer sicher bleibt ?

*eine gewisse Provokation meinerseits ist nicht ganz unbeabsichtigt da diese Diskussion geführt werden muss !* ;)


IMHO hatt OpenSource nichts mit der "Dauheit" eines Users zu tun !
Wenn der User nur noch auf das klicken visiert ist, dann kann selbst OpenSource da nichts ausrichten ! (Vielleicht wäre dann ein wechsel zu Apple interesant !)

Mehr als Provokation is das wirklich nicht ....
 
Mozilla muss halt nur nachziehen was MS nun mit dem SP2 eingefügt hat.
Installieren nicht als "default" setzen sondern auf "chancel" und schon verflüchtigt sich zumindest dieses Problem sehr fix.

Die Diskussion sollte schon weiter gehen als nur bis zum "klick".
 
Also wer einfach so drauf losklickt bei ner Plugin-Installation, da kann ich nur sagen selber schuld... Ich persönlich les mir ja ersteinmal genau durch was der Browser da jetzt installieren möcht, denn eigentlich ist des ja schon recht ungewöhnlich wenn da plötzlich so ne Meldung aufgeht und man sich vielleicht noch nichtmal auf ner Plugin-Seite, z.B. von Mozilla, befindet.
 
Sicherheitslücke? Wo denn? Also wer sich diese schwachsinnige News ausgedacht hat, ist echt ein bisschen paranoid.
Wenn ich die News für Voll nehme, dann wäre ja die Möglichkeit Dateien unter Windows und Linux auszuführen ja bereits eine Sicherheitslücke. :frage:
Und sorry, das ist total irre :)...

Versteht ihr denn nicht ? wenn man irgendwo draufklickt oder einfach irgendetwas ausführt, was man nicht kennt, dann braucht man sich doch nicht zu wundern, wenn da mal was schiefgeht.

Demnächst erscheint auch eine News, die berichtet, dass man Antivir beenden kann und dadurch der Virenschutz nicht mehr aktiv ist, also eine schwerwiegende Sicherheitslücke. Man darf ein Antivirenprogramm ja nicht beenden können. *autsch*....

Wuah, wenn ich heise schon lese, dann wird mir einfach nur übel. Soviel *piep* auf einem Haufen, das ist nicht mehr auszuhalten :).
Naja, News für Daus. Sorry, diese News ist der absolute Wahnsinn :).
 
aslock schrieb:
Sicherheitslücke? Wo denn? Also wer sich diese schwachsinnige News ausgedacht hat, ist echt ein bisschen paranoid.
Wenn ich die News für Voll nehme, dann wäre ja die Möglichkeit Dateien unter Windows und Linux auszuführen ja bereits eine Sicherheitslücke. :frage:
Und sorry, das ist total irre :)...

Versteht ihr denn nicht ? wenn man irgendwo draufklickt oder einfach irgendetwas ausführt, was man nicht kennt, dann braucht man sich doch nicht zu wundern, wenn da mal was schiefgeht.

Demnächst erscheint auch eine News, die berichtet, dass man Antivir beenden kann und dadurch der Virenschutz nicht mehr aktiv ist, also eine schwerwiegende Sicherheitslücke. Man darf ein Antivirenprogramm ja nicht beenden können. *autsch*....

Wuah, wenn ich heise schon lese, dann wird mir einfach nur übel. Soviel *piep* auf einem Haufen, das ist nicht mehr auszuhalten :).
Naja, News für Daus. Sorry, diese News ist der absolute Wahnsinn :).


Siehe auch mein Beitrag ....

Stimme dir da voll zu aslock !
 
es ist ganz normal, dass in software sicherheitslücken sind. ob die nun opensource oder propitär ist, sicherheitslücken entstehen auf beiden seiten.
allerdings ist die wahrscheinlichtkeit eine lücke zu finden, bei oss höher als bei propitärer software, da letztere nur von wenigen durchgesehen werden darf.

desweiteren ist es auch wichtig wie grafierend die sicherheitslücke ist.
richtig schlimm ist die lücke wenn man nur ins internet gehen muss und ohne (!) zutun einen virus/wurm/... auf dem rechner hat.
daher ist die sicherheitslücke im mozilla für den kritischen internetuser eigentlich unbedeutend, da sich nichts automatisch installiert.
[Beispiel: ich bin schon seit jahren mit einem ungepatchten win98 im inet unterwegs und es hin und wieder heute noch. einen virenscanner habe ich erst seit ein paar monaten. dennoch war noch nie ein virus auf meiner platte.
das liegt einfach nur daran dass ich weiss auf welchen seiten ich bin und was ich anklicke.]

es ist zwar wichtig sicherheitslücken zu schliessen, allerdings wäre das ein kampf gegen windmühlen, da es immer bugs geben wird.
schlussfolgerung: man muss versuchen den größten bug zu stopfen: den DAU.
 
Also eigentlich ist es ja gar keine lücke es ist eher die erkenntnis das es trojaner plugins gibt und das könnte einem eigentlich überall passieren, eben schnell ein neues prog von sf.net gezogen und gar nicht gemerkt das da nen rootkit bei ist so schnell könnte es passieren
 
So gesehen hat aslock wohl völlig recht. Denoch ist es doch auch so, das man selbst als erfahrener Surfer, sofern man nicht völlig paranoid ist, sich auch mal der Bequemlichkeit hingibt und auf Sachen klickt, die man ev. erst mal überprüfen sollte. Würde man das tun, würde surfen bald zur Qual, bzw. das einspielen von kleineren Tools und Progrämmchen eine dauerstressige Angelegenheit!
Nach wie vor heisst meine oberste Sicherheitsprinzipie, ein regelmässiges Backup. (Ich mache in regelmässigen Abständen eine Plattenspiegelung!)

Man kann aber gerade im OSS-Bereich erwarten, das eventuelle schwerer wiegende Sicherheitslücken als die hier geschilderte, recht schnell behoben werden.
Und trotzdem finde ich das richtig, das man auch auf solche, wenn auch vielleicht nicht ganz so schlimme Lücken, aufmerksam gemacht wird!
 
Zuletzt bearbeitet:
miret schrieb:
So gesehen hat aslock wohl völlig recht. Denoch ist es doch auch so, das man selbst als erfahrener Surfer, sofern man nicht völlig paranoid ist, sich auch mal der Bequemlichkeit hingibt und auf Sachen klickt, die man ev. erst mal überprüfen sollte. Würde man das tun, würde surfen bald zur Qual, bzw. das einspielen von kleineren Tools und Progrämmchen eine dauerstressige Angelegenheit!
Nach wie vor heisst meine oberste Sicherheitsprinzipie, ein regelmässiges Backup. (Ich mache in regelmässigen Abständen eine Plattenspiegelung!)
Meine Güte wo surfst DU denn lang? Bist auf vielen Gamesites oderso, Schmuddel-Seiten oder illegalen Portalen unterwegs? Klingt bissle danach... bei mir geht eigentlich fast nie was auf (vielleicht mal nen Popup bei ner PM in nem Forum oderso...) - wobei ich ja täglich eigentlich immer auf den gleichen bin, Ausnahmen bestätigen die Regel ;-)
 
wo man sich das zeug einfängt ist ja letztlich egal - die tatsache das es einen populären opensource-browser gibt der eine sicherheitslücke hat (was schließlich jedem mal passieren kann) beunruhigt mich auch in keinster weise. aber " ...Mozilla-kompatiblen Browsern bietet eine dieser Seiten ein XPI mit einem Trojanischen Pferd an ..." zeigt, in welche richtung es geht: der mozilla firebird hat inzwischen nach dem ie die weiteste verbreitung, viele dieser user kommen gar nicht auf die idee, das ihnen irgendeiner etwas böses wollte ("aber wieso, ich benutz doch die gute opensource-software, die ist doch so sicher ..."). wartet noch ein bisschen, dann wird es mehr programme geben die ihrer verbreitung zum opfer fallen.
natürlich hilft dagegen nur ständig up-to-date zu sein, das mach ich ja schließlich mit meiner windows-box auch - aber mein alter herr macht das eben nicht (übrigens auch nicht mit seiner windows-box). und ganz viele linuxer machen das ebenfalls nicht - aus den z.t. unterschiedlichsten gründen (die spanne reicht vom desinteressierten "keine lust" bis zum prinzipiellen "never touch a running system!").

vielleicht bleibt dies jetzt erstmal ein einzelfall, wenn die opensource-gemeinde entsprechend reagiert (was in diesem fall heißen müsste, dass die mozilla-jungs/mädels schnellstens eine entschärfte version rausschlagen sollten und die ungepatchte 0.9 wieder vom markt verdrängt werden muss), die sinne für zukünftige ereignisse geschärft werden und man sich ein bisschen weniger dem mainstream hingibt.

mfg

bananenman
 
NDO schrieb:
Meine Güte wo surfst DU denn lang? Bist auf vielen Gamesites oderso, Schmuddel-Seiten oder illegalen Portalen unterwegs? Klingt bissle danach... bei mir geht eigentlich fast nie was auf (vielleicht mal nen Popup bei ner PM in nem Forum oderso...) - wobei ich ja täglich eigentlich immer auf den gleichen bin, Ausnahmen bestätigen die Regel ;-)


Nö, eigentlich nicht!
Viel rum kommst du im netz aber auch nicht, oder? 8o :devil:
 
Also erstmal möchte ich meinen Vorpostern anschließen:
"It's not a bug, it's a feature!"

Im Firefox 0.9 ist der Install-Button sogar für 2 Sekunden deaktiviert, so dass man auf jeden fall den Warnhinweis liest. Die User die das nicht tun oder die Risiken nicht überreissen sollten nicht einene Computer mit Internetanschluss benutzen. Und wenn doch, nicht jammern.
 

Ähnliche Themen

Firefox: Mozilla führt Plugin-Whitelist ein

Mozilla will Firefox-Prozesse verbessern

Firefox /usr/lib/mozilla-firefox/plugins nicht begehbar

Kdm startet KDE nicht - KDE geht aber (teilweise) über startkde

HP PSC 2175 - CUPS druckt nicht

Zurück
Oben