Thema: Firefox ...

[SiLæncer]

Die Mozilla Foundation hat in ihrem Security Blog ein neues Sicherheitskonzept vorgestellt, dass Abhilfe gegen die mittlerweile epidemische Ausmaße erreichenden Cross-Site-Scripting-Attacken (XSS) respektive Schwachstellen bringen soll: Content Security Policy (CSP). Damit sollen Web-Administratoren dem Browser durch Senden eines speziellen Headers mitteilen können, welche Domains er als Quelle vertrauenswürdigen Codes akzeptieren soll. Herkömmliche XSS-Attacken machen sich unter anderem Lücken in Webanwendungen zunutze, um JavaScript im Kontext vertrauter Domains im Browser auszuführen.

Bei CSP soll der Browser nur Skripte ausführen, die aus Domains stammen, die in einer Whitelist zusammengefasst sind – alles andere wird geblockt. So kann der Administrator etwa einen eigenständigen Skript-Server spezifizieren, von dem der Browser Skripte nachlädt und ausführt. Angreifer sollen so keine Skripte mehr in HTML-Dokumente einschleusen können.

Selbst im Dokument eingebettetes JavaScript wird mit CSP standardmäßig nicht mehr ausgeführt. Websites sollen dem Browser sogar signalisieren können, das Ausführen von JavaScript in ihrem Kontext komplett abzuschalten. Sinnvoll kann dies etwa auf Seiten sein, die gar keine Skripte enthalten.

Dennoch soll CSP vollständig rückwärtskompatibel sein. Sendet die Website keinen CSP-Header, fällt der Browser auf die alte Same Origin Policy zurück. Browser ohne CSP-Unterstützung ignorieren den zusätzlichen Header einfach. Darüber hinaus soll CSP auch Maßnahmen gegen ClickJacking bieten und automatisch von HTTP-Seiten auf HTTPS-Seiten umleiten, sofern diese verfügbar sind.

Google prüft derzeit ebenfalls, seine Dienste aus Sicherheitsgründen standardmäßig per HTTPS anzubieten, um das Ausspähen von Informationen zu verhindern. Wann CSP konkret in Mozilla-Produkte implementiert werden soll, schreibt Brandon Sterne, Security Program Manageren bei Mozilla, nicht.

Unterdessen haben die Entwickler Version 2.0.0.22 des E-Mail-Clients Thunderbird zum Herunterladen bereitgestellt. In dieser Version sind mehrere Sicherheitslücken beseitigt, die die Entwickler teilweise als kritisch eingestuft haben. Auch SeaMonkey ist mittlerweile in der überarbeiteten Fassung 1.1.17 verfügbar. In Firefox wurden die insgesamt elf Lücken bereits vor rund zwei Wochen behoben.

Quelle : www.heise.de

[SiLæncer]

Ein auf dem Exploit-Portal Milw0rm erschienener Exploit für den Firefox 3.5 soll eine Sicherheitslücke demonstrieren, bei der durch eingeschleusten Code der Taschenrechner unter Windows startet. Zwar stürzte in einem ersten Test der heise-Security-Redaktion Firefox unter Vista nur ab, die Sicherheitsdienstleister Secunia und VUPEN bestätigten aber auf ihren Seiten, dass Angreifer mittels präparierter Webseiten einen PC infizieren können. Ursache des Problems ist ein Buffer Overflow bei der Verarbeitung präparierter Font-Tags.

Die Mozilla Foundation ist über das Problem informiert, die Anwort auf eine Anfrage von heise Security steht indes noch aus. Ein Update gibt es nicht. Bislang gibt es keine Meldungen, dass erste Seiten im Internet die Lücke aktiv für Infektionen von Windows-PCs ausnutzen würden. Da der Exploit zur Verteilung des Codes im Speicher des PC Heap Spraying mit JavaScript benutzt, kann man als Notbehelf JavaScript deaktivieren. Unter Windows 7 RC1 bot nach einem kurzen Stillstand des Browsers ein Dialog den Abbruch des Skripts an.

Siehe dazu auch:

    * Mozilla Firefox Memory Corruption Vulnerability, Bericht von Secunia
    * Mozilla Firefox Elements Handling Memory Corruption Vulnerability, Bericht von VUPEN

Quelle und Links : http://www.heise.de/newsticker/Erster-Zero-Day-Exploit-fuer-Firefox-3-5--/meldung/141976

[ritschibie]

Abschaltung des Just-inTime-JavaScript-Compilers soll helfen

Nicht nur Microsoft kämpft im Moment mit Sicherheitslücken: auch Mozillas kürzlich fertig gewordener Firefox 3.5 hat eine Sicherheitslücke, die es ermöglicht dem Nutzer bösartigen Code unterzuschieben.
Mozillas Firefox 3.5 hat einen gefährlichen Fehler in dem JIT-JavaScript-Compiler. Dieser Fehler lässt sich laut Mozillas Sicherheitsblog nutzen um ein Opfer dazu zu bringen eine Webseite mit Schadcode anzusurfen, der dann auch ausgeführt wird.

Laut Mozilla lässt sich der Angriff abschwächen, wenn die Just-in-Time-Komponente der JavaScript-Engine abgeschaltet wird. Dazu gibt der Anwender in die Adresszeile about:config ein und gibt im Filter anschließend JIT ein. Nach einem Doppelklick auf die Zeile javascript.options.jit.content wechselt der Wert auf "false", womit einem Angriff zumindest temporär vorgebeugt werden kann.

Alternativ reicht es auch den Firefox im abgesicherten Modus des Browsers zu starten (Safe Mode). In diesem Fall wird die JIT-Komponente ebenfalls nicht genutzt. Allerdings wirkt sich die Abschaltung negativ auf die Geschwindigkeit der JavaScript-Engine aus.

Mozillas Entwickler arbeiten bereits an einem Patch für den Browser. Wann dieser erscheint, kann Mozillla derzeit jedoch nicht sagen.

Mozilla erwähnt bisher nur Firefox 3.5 als gefährdeten Browser.

Quelle : www.golem.de

[SiLæncer]

Die Mozilla Foundation hat die gestern gemeldete kritische Lücke in Firefox 3.5 bestätigt und arbeitet an einem Update. Als Workaround empfiehlt der Hersteller, den Just-in-time-JavaScript-Compiler (JIT) zu deaktivieren. Dazu muss man in der Adresszeile des Browsers die URL "about:config" aufrufen und die Option javascript.options.jit.content auf "false" setzen. Allerdings endet mit dieser Umkonfiguration möglicherweise die Gewährleistung, worauf ein Dialog beim Aufruf der Firefox-Konfiguration hinweist. Nur wer artig verspricht, vorsichtig zu sein, darf weitermachen.

Nach der Umkonfiguration ist man zwar erstmal auf der sicheren Seite, allerdings laufen nun JavaScripte erheblich langsamer. Sobald das Update verfügbar und installiert ist, stellt man den Wert einfach wieder auf "true". Alternativ können Windows-Anwender auch den Firefox im Safe Mode starten, dann nämlich wird JIT ebenfalls deaktiviert.

Quelle : www.heise.de

[SiLæncer]

Eine vor vier Tagen bekannt gewordene Sicherheitslücke in Firefox 3.5 betrifft auch den inzwischen veröffentlichten aktuellen Firefox 3.5.1. Dabei übergibt ein JavaScript einen überlangen Unicode-String an die document.write()-Methode, die einen Puffer überlaufen lässt. Dies kann dazu führen, dass ein Angreifer beliebigen Code ausführen kann; falls das nicht klappt, wird der Browser vermutlich abstürzen.

Ein überlanger Unicode-String bereitet Firefox ernste Sicherheitsprobleme.

SecurityFocus demonstriert dies anhand eines einfachen Exploits. Auch IBM Internet Security Services und die National Vulnerability Database stufen die Lücke als kritisch ein. Außer dem für die meisten Webanwender wenig praktikablen Vorschlag, JavaScript abzuschalten, gibt es derzeit keine Abhilfe gegen diese Sicherheitslücke.

Quelle : www.heise.de 

[SiLæncer]

Die Mozilla Foundation hat die Firefox-Version 3.0.12 vorgelegt, in der zahlreiche kritische Sicherheitslücken beseitigt sind. Dazu gehören Fehler in Zusammenhang mit dem Flash Player und SVG-Elementen, die Angreifer das Einschleusen und Ausführen von Code über präparierte Webseiten ermöglichen. Zudem kann das Rendern bestimmter Fonts zu einen Heap Overflow führen.

Darüber hinaus führen mehrere Speicherfehler zum Absturz des Browsers. Allerdings gibt es Hinweise darauf, dass sich darüber auch Code einschleusen und ausführen lässt. Die Entwickler gehen in solchen Fällen auf Nummer sicher und stufen auch solche potenziellen Lücken als kritisch ein. Daneben haben die Entwickler die Stabilität verbessert, so dass nun unter anderem Firefox bei Verwendung das Java-Plug-ins für Windows nicht mehr zeitweise einfriert.

Offiziell wird Firefox 3.0.x nur noch bis Januar 2010 mit Sicherheits-Updates versorgt. Anwender sollten bereits jetzt überlegen, auf die aktuelle Version der 3.5.x-Serie des Webbrowsers zu wechseln.

Anders als bei bisherigen Sicherheitsberichten sind diesmal SeaMonkey und Thunderbird nicht erwähnt, wobei allerdings unwahrscheinlich ist, dass zumindest SeaMonkey nicht betroffen sein soll.

Siehe dazu auch:

    * Security Advisories for Firefox 3.0
    * Firefox 3 - Versionshinweise

Quelle : www.heise.de

[SiLæncer]

In den aktuellen Versionen von Firefox ist eine neue Sicherheitslücke entdeckt worden, die Phishing-Angriffe erleichtern kann. Auch ältere Browser-Versionen sind anfällig. Mozilla arbeitet bereits an einem Sicherheits-Update.

Spoofing-Lücke in Firefox

In allen aktuellen Version von Firefox steckt eine Schwachstelle, die es einem Angreifer ermöglichen kann eine neue Seite in einem neuen Tab oder Fenster zu laden, deren Herkunft er fälschen kann. Es handelt sich um eine so genannte Spoofing-Lücke. Mozilla ist über die Sicherheitslücke informiert und hat die Ursache des Problems bereits gefunden. Ein Update für Firefox 3.5.1 und 3.0.12 wird derzeit getestet.

Eine erfolgreiche Ausnutzung der Schwachstelle kann einen Phishing-Angriff recht überzeugend machen. Die Ausnutzung ist recht einfach. Dazu wird ein neues Fenster (oder Tab) geöffnet, dessen Zieladresse nicht existiert. Mitten in diesem Vorgang wird der Inhalt der Seite per Javascript manipuliert. Beispiel-Code für die Ausnutzung der Sicherheitslücke ist öffentlich verfügbar.

Im Mozilla Security Blog heißt es dazu, Benutzer hätten keine Möglichkeit, die Richtigkeit der Adressenangabe in der URL-Leiste zu überprüfen. Zur Vermeidung eines Phishing-Angriffs sollten Anwender vertrauliche Informationen wie Anmeldedaten nicht in Seiten eingeben, die durch Anklicken eines Links auf einer nicht vertrauenswürdigen Seite geöffnet werden.

Die Mozilla-Entwickler haben bereits eine Lösung für das Problem gefunden und in die Quelltexte von Firefox eingearbeitet. Wann ein Sicherheits-Update für Firefox bereit gestellt wird, ist derzeit noch ungewiss. Firefox 3.5.2 und 3.0.13 sind ohnehin für Anfang August angekündigt und werden wohl auch diese Lücke schließen.

Quelle : www.pcwelt.de

[SiLæncer]

Auf der Black Hat 2009 US berichten Experten von einer neuen Attacke, um per manipulierten SSL-Zertifikat Schadcode in eine Anwendung einzuspeisen.Laut einer Meldung von Security Focus sind folgenden Anwendungen betroffen:


    *     Firefox (bis einschließlich 3.0.12)
    *     Seamonkey (bis einschließlich 1.0.8 )

Nicht betroffen ist die neuste Firefox Generation Version 3.5.x. Die Sicherheitslücke erlaubt einem Angreifer mittels manipulierten SSL-Zertifikaten das Auslösen eines Heap-basierten Pufferüberlaufs. Es besteht daher die Chance, dass Code in ein betroffenes System eingespeist wird. Für beide Anwendungen stehen bereits Updates zu Verfügung.

Quelle : www.tecchannel.de

[SiLæncer]

Die Mozilla Foundation hat neue Versionen ihres Firefox-Browsers vorgelegt, die im 3.5er-Zweig vier und im 3.0er-Zweig drei Sicherheitslücken beseitigen. Unter anderem kann ein Angreifer JavaScript mit den höchsten Rechten (Chrome) im Browser ausführen. Zudem deuten Abstürze in bestimmten Situationen auf möglicherwiese ausnutzbare Speicherfehler hin, die die Entwickler wie üblich sicherheitshalber als kritisch einstufen.

Darüber hinaus nehmen die Updates Betrügern eine Möglichkeit, mit Funktionaufrufen von window.open auf ungültige URLs und anschließendenm document.write eine manipulierte Webseite als SSL-geschützt anzuzeigen. Phisher könnten dies zum Klau von Daten missbrauchen. Außerdem beseitigen die aktuellen Versionen des Webbrowsers einen Fehler bei der Verarbeitung von SOCKS5-Anworten mit mehr als 15 Zeichen langen DNS-Namen.

Nachträglich hat die Foundation Fehlerbeschreibungen zu zwei längst in Firefox 3.5 geschlossenen Schwachstellen in Zusammenhang mit der Verarbeitung von SSL-Zertifikarten veröffentlich, die indes im Firefox 3.0.x weiter offen sind – und es wohl noch bleiben. Details zu den Lücken hatte Moxie Marlinspile auf seinem kürzlich gehaltenem Black-Hat-Vortrag enthüllt. Durch das Einfügen von Nullzeichen in Zertifikaten denken viele Browser, dass etwa das auf www.paypal.com.thoughtcrime.org ausgestellt Zertifikat zu www.paypal.com gehört. Der Mozilla-Fehlerbericht weist darauf hin, dass sich auf diese Weise auch der gesicherte Update-Mechanismus von Firefox aufbrechen ließe. Ein Update-Angriffstool wurde auf der Black Hat bereits vorgestellt.

Marlinspike hatte das Problem wohl parallel zu Dan Kaminsky gefunden. Kaminsky hatte aber offenbar zusammen mit dem Microsoft Vulnerability Research an einer koordinierten Lösung des Problems gearbeitet, da neben Firefox auch der Internet Explorer und andere Browser betroffen sind. Nebenbei hatte Marlinspike noch einen Heap Overflow bei der Verarbeitung von präparierten Zertifikaten entdeckt, durch den sich Code einschleusen und ausführen lässt. Davon sind auch Thunderbird und SeaMonkey betroffen sein. Ob die Fehler dort behoben sind, lässt der Bericht offen. Der Bericht gibt nur an, dass der Fehler auch in den Network Security Services (NSS) 3.12.3 korrigiert wurde.

Auf jeden Fall empfiehlt die Mozilla Foundation Anwendern des Firefox 3.0.x, schon jetzt auf 3.5.x zu wechseln. Ohnehin endet der Support für den Vorgänger im Januar 2010.

Quelle : www.heise.de

[SiLæncer]

Die Mozilla Foundation hat die Firefox-Versionen 3.0.14 und 3.5.3 vorgelegt, die mehrere kritische Sicherheitslücken der Vorgängerversionen beseitigen. Ein Fehler im FeedWriter ermöglicht es einem Angreifer, seinen JavaScript-Code im Browser des Opfers mit Chrome-Rechten auszuführen – also mit den höchsten Rechten. Zudem lässt sich ein Fehler in der Verwaltung der Spalten von XUL-Baumelementen zur Manipulation von Zeigern ausnutzen, mit denen sich eingeschmuggelter Code starten lässt. Dazu genügt der Besuch einer präparierten Webseite durch das Opfer.

Darüber hinaus beseitigen die neuen Versionen insgesamt sieben möglicherweise ausnutzbare Speicherfehler, die die Entwickler wie üblich sicherheitshalber als kritisch einstufen. Des Weiteren haben die Entwickler eine potenzielle Spoofing-Schwachstelle bei der Darstellung von URLs mit bestimmten Unicodes beseitigt. Version 3.0.14 korrigiert noch einen Fehler bei der Installation respektive Deinstallation von PKCS#11-Modulen zum Zugriff auf kryptografische Token. Offenbar waren die Dialoge nicht eindeutig genug, sodass ein Angreifer ein Opfer dazu bringen konnte, ein manipuliertes Modul zu installieren.

Beide Firefox-Versionen warnen beim Start nun auch bei veralteten Versionsständen des Flash-Plugins. Ein Großteil der Anwender surft mit verwundbaren Versionen von Adobe Flash im Netz und bietet so ein hervorragendes Ziel für Kriminelle, fand zuletzt der Sicherheitsdienstleister Trusteer heraus. Möglicherweise ändert sich die Lage damit. Auf jeden Fall empfiehlt die Mozilla Foundation Anwendern des Firefox 3.0.x, schon jetzt auf 3.5.x zu wechseln. Ohnehin endet der Support für den Vorgänger im Januar 2010.

Quelle : www.heise.de

[SiLæncer]

Dass rund 80 Prozent der Anwender mit verwundbaren Flash-Installationen im Netz unterwegs sind und damit Kriminellen ein Einfallstor in ihren Windows-PC bieten, haben übereinstimmend die Analysen mehrerer Sicherheitsdienstleister in den vergangenen Wochen ergeben. Möglicherweise könnte die Mozilla Foundation mit der Warnung vor verwundbaren Plug-ins in den neuesten Versionen ihres Firefox-Browsers das Ruder nun herumreißen und dafür sorgen, dass Anwender häufiger Sicherheits-Updates installieren.

Nach Angaben von Ken Kovash von der Mozilla Foundation haben seit der Veröffentlichung von Firefox 3.0.14 und 3.5.3 mehr als 10 Millionen Anwender den Link zu Adobes Update-Seiten angeklickt. Ob sie dann allerdings wirklich das Flash-Update installiert haben, ist aus der Statistik noch nicht ersichtlich.

Firefox prüft mittels eines Skripts auf der Seite "Was gibt's Neues?", welche Version des Plugins installiert ist und warnt gegebenenfalls den Anwender. Die Seite wird nach jedem Update des Web-Browsers beim ersten Start automatisch aufgerufen. Am Tag des Updates auf die Version 3.5.3 wurde die Seite rund 6 Millionen Mal aufgerufen, etwas mehr als 3 Millionen hatten ein veraltetes installiert. Insgesamt registriert die Mozilla Foundation immerhin bei 75 Prozent aller Besucher von Mozilla-Seiten eine ältere Plugin-Version.

Besonders beeindruckend findet Kovash die sogenannte Click-Through-Rate der Warnseite, also wie viel Anwender letztlich der Aufforderung folgten, Adobes Seite zu besuchen: im Mittel 30 Prozent. Sonst weist die Seite "What's new" nur eine Click-Through-Rate von 5 Prozent auf. Die erfreulichen Zahlen sollten jedoch nicht darüber hinwegtäuschen, dass rund 70 Prozent der Anwender der Aufforderung zum Update nicht folgten.

Laut einem Blogeintrag von Johnathan Nightingale überlegt die Mozilla Foundation weitere Plugins in die webbasierte Überprüfung einzubeziehen und bei veralteten Versionsständen zu warnen sowie einen Link zum Update anzubieten. Neben Flash nutzen Kriminelle aktuell auch Lücken in QuickTime, Java und Adobe Reader, um einen PC zu kompromittieren. Mit dem zentralen Warndienst käme die Mozilla Foundation der im Kommentar auf heise Security "Mein Wunschzettel für Windows 7: Updates für Alle" geforderten Funktion ziemlich nahe. Anwender anderer Browser blieben aber leider außen vor.

Quelle : www.heise.de

[SiLæncer]

Mehrere Fehler erlauben Angreifern, eigenen Code auszuführen

Mozilla schließt mit der Version 3.5.6 von Firefox drei kritische Sicherheitslücken. Zudem soll die Stabilität des Browsers mit dem Update verbessert und weitere sicherheitsrelevante Fehler beseitigt werden.
Geschlossen wurden in Firefox 3.5.6 unter anderem einige Fehler in der Browser-Engine (Mozilla Foundation Security Advisory 2009-65), die zu Abstürzen führen und Angreifern gegebenenfaklls die Möglichkeit eröffnen können, eigenen Code auf fremden Systemen auszuführen.

Ein weiterer Fehler steckt in der Bibliothek liboggplay, die Firefox seit der Version 3.5 zur Wiedergabe von Audio- und Videoinhalten mitbringt (Mozilla Foundation Security Advisory 2009-66). Auch über diesen Fehler kann Code eingeschleust und ausgeführt werden, warnt Mozilla.

Bei der dritten schweren Sicherheitslücke handelt es sich um einen Integer-Überlauf in der Bibliothek für Theora-Video (libtheora). Mit einem entsprechend präparierten Video ist es dadurch ebenfalls möglich, beliebigen Code auf fremden Systemen auszuführen (Mozilla Foundation Security Advisory 2009-67). Entdeckt wurde die Schwachstelle vom Sicherheitsexperten Dan Kaminsky.

Allein aufgrund dieser Schwachstellen ist ein Update auf die neue Version dringend anzuraten. Darüber hinaus wurden weitere Sicherheitsprobleme beseitigt und die Stabilität von Firefox verbessert. Firefox 3.5.6 steht ab sofort für Windows, Linux und Mac OS X unter mozilla.com zum Download bereit.

Quelle : www.golem.de

[SiLæncer]

Die Version 3.5.7 des Webbrowsers Firefox löst ein in der Vorgängerversion eingeführtes Problem im Zusammenhang mit HTTP-Proxys. Durch das Schließen einer Schwachstelle (NTLM-Replay-Attacke) im Zusammenhang mit Authentifizierungen per NTLM versagte die Version 3.5.6 die Zusammenarbeit mit Web-Proxys, die eine Nutzer-Authentifizerung erforderten. Insbesondere in einigen Firmennetze war dann mit Firefox kein Zugriff auf das Internet mehr möglich. Abhilfe brachte, über die Konfiguration via about:config die Einstellung network.auth.force-generic-ntlm auf true zu setzen. Ursache des Problems war offenbar ein Fehler bei der Namensauflösung.

Darüber hinaus korrigiert Version 3.5.7 noch die Art wie Meldungen zu Updates auf Major-Release angezeigt werden und erhöht die Stabilität. Zusätzlich ist Firefox 3.0.17 erschienen, der die gleichen Änderungen wie 3.5.7 enthält.

Quelle : www.heise.de

[SiLæncer]

Schwachstellen in Webbrowsern und deren Ausnutzung durch Cyberkriminelle sind nichts Neues. Sehr wohl neuartig ist aber eine Variante, die momentan Benutzer des Mozilla Firefox heimsucht: Angriff über den Browser - auf IRC-Netzwerke!

Experten sprechen vom weltweit ersten "inter-protocol exploit". Bisher zielten derartige Angriffe entweder auf das unsichere Programm selbst oder gleich auf das komplette Betriebssystem. Das Vorgehen, IRC über den Webbrowser anzugreifen, ist dagegen neuartig.

Firefox bietet die Möglichkeit, auch IRC-Netze über den Webbrowser zu besuchen. Dies wird im vorliegenden Angriffsszenario ausgenutzt. Der Browser wird mit Hilfe von Javascript-Code in manipulierten Links gezwungen, IRC-Netze zu betreten. Dort wird ein ebenso manipulierter Link in zahlreiche Channels gespammt. Wer mit Firefox im IRC ist und einem dieser Links folgt, dessen Browser fängt ebenfalls an, entsprechende Links zu verbreiten.

Dadurch, dass sich der Angriff auf diese Art und Weise effizient weiterverbreitet, richtet er in den betroffenen IRC-Netzen einiges an Chaos an. "Eine große Anzahl von Nutzern des Netzes Freenode wurde gebannt, weil sie den Link klickten und dann ins IRC kamen und dort Spam verbreiteten," erzählte einer der Angreifer, der unter dem Pseudonym Weev auftrat, gegenüber dem IT-Newsportal The Register. Teilweise sollen sich die Freenode-Admins sogar gegenseitig gebannt haben.

Die Schwachstelle scheint auf allen Firefox-Versionen zu funktionieren. Auf die Möglichkeit angesprochen, auch andere Browser anzugreifen, meinte "Weev", auf Microsoft Internet Explorer und Apple Safari würde der Angriff nicht funktionieren. Bei anderen Browsern sei es dagegen "möglich", dass es ihnen gelingen würde, den Angriff erfolgreich zu portieren. Einzelheiten über den Angriff schreiben die Verantwortlichen auch im Internet.

Im Freenode-Netz kämpft man noch immer mit den Folgen des Angriffs. Andere Netze wie Efnet und OFTC haben dagegen mittlerweile wirksame Gegenmaßnahmen gefunden.

Sicherheitsexperten warnen Benutzer, beim Klicken von Links besondere Vorsicht walten zu lassen. Grundsätzlich sind einige Experten der Ansicht, dass Webbrowser "nicht in der Lage sein sollten, zu anderen als den HTTP-Ports zu verbinden". Diese Beschränkung auf wesentliche Funktionen könnte Sicherheitsprobleme verringern.

Von der für Firefox verantwortlichen Mozilla Foundation gibt es noch keine Stellungnahme. Auch über einen eventuellen Patch ist noch nichts bekannt.

Die Berichte über Browser-Schwachstellen scheinen derzeit nicht abzureißen. Erst kürzlich war der Microsoft Internet Explorer mit einer ganzen Serie von Schwachstellen, von denen einige momentan noch nicht behoben sind, in den Schlagzeilen.

Quelle : www.gulli.com

[SiLæncer]

Die Rechner einiger tausend Nutzer des Open Source-Browsers Firefox wurden mit Malware infiziert, die über zwei Addons verbreitet wurde. Das hat Mozilla, unter deren Dach der Browser entwickelt wird, nun bestätigt.

Die infizierten Zusatzmodule wurden über die offizielle Download-Seite für Addons verbreitet. Inzwischen habe man sie aus der Datenbank entfernt, hieß es. Sowohl der Sothink Web Video Downloader 4.0 also auch das Plugin Master Filer beinhalteten einen Trojaner, der Windows-PCs übernimmt.

Die beiden Addons konnten über den "Experimental"-Bereich heruntergeladen werden. Dort laufen alle neueren Module auf, die noch nicht den öffentlichen Prüf-Prozess durchlaufen haben. Um die Software aus diesem Teil der Datenbank installieren zu können, müssen Nutzer gesondert zustimmen.

Die betroffenen Fassungen von Master Filer wurden insgesamt 600 mal heruntergeladen, bevor die Infektion entdeckt und der Download deaktiviert wurde. Für den Sothink Web Video Downloader 4.0 verzeichnete man insgesamt rund 4.000 Downloads.

Laut Mozilla durchlaufen alle hochgeldenen Plugins einen automatisierten Check durch Virenscanner. Diese hätten aber in diesen beiden Fällen versagt. Entdeckt wurde die Malware, nachdem man ein zusätzliches Prüfverfahren installierte und auch alle älteren Addons noch einmal scannen ließ.

Mozilla empfielt Nutzern, die eines der beiden Addons geladen haben, dieses zu deinstallieren. Zusätzlich sollte die Festplatte mit einem aktuellen Virenscanner überprüft werden.

Quelle : http://winfuture.de