Thema: Firefox ...

[SiLæncer]

Firefox (13.02 erscheint bald) ist mittlerweile bekanntlich auch im Besitz einer Seite, die oft aufgerufene Seiten mit einem Screenshot zeigt. Kennt man ja auch von Chrome oder Opera. Auf der Seite des neuen Tabs sehen wir also diverse Seiten, inklusive automatisch generiertem Thumbnail. Diese Seite zeigt allerdings unter Umständen Dinge an, die man nicht so sehen will, bzw. sehen lassen will.

Neben Thumbnails normaler Seiten werden nämlich auch Screenshots von gesicherten https:-Verbindungen angefertigt. Und so zeigt diese kleine Vorschau unter Umständen mal den Kontostand oder weitere Details an.

Mozilla kündigte an, dass man in zukünftigen Versionen dieses Problem angehen wolle. Wer bereits jetzt schon eingreifen möchte, der sollte den privaten Modus nutzen oder das Feature des neuen Tabs abschalten. Dazu in der Adresszeile einfach about:config eingeben und den Wert browser.newtab.url auf about:home setzen. Skandal? Besonders schlimm? Nein. Dinge, die ich an einem PC mache, die auf der Seite des neuen Tabs auftauchen können, würde ich eh nur an meinem privaten Rechner machen, der durch diverse Mechanismen vor dem Auge anderer Menschen gesichert ist.

Quelle: Caschys Blog

[Jürgen]

Genau diese Dinge mache ich weder auf meinem noch irgendeinem fremden Rechner, bzw. nie über dort installierte Browser.
Das passiert hier allein über eine portable Version auf einem Stick, und die ist natürlich sehr spezifisch eingestellt und wird nur für diesen Zweck verwendet.
Nutzung auf Fremdrechnern kommt normalerweise auch nicht vor, es sei denn, ich betreue diese ohnehin dauernd persönlich.
Auch die unentbehrliche Sicherheitskopie gibt's auf keinem Rechner, sondern nur auf einem anderen kleinen externen Datenträger, den wirklich niemand finden würde...

Jürgen

[SiLæncer]

Die personalisierte Übersicht zuletzt besurfter Seiten sollte es Nutzern seit Firefox 13 auf einem neuen Tab leichter machen, ihre oft genutzten Seiten wiederzufinden. Doch die per Zufallsprinzip während der Benutzung aufgenommenen und lokal gespeicherten Bilder zeigten oft HTTPS-geschützte private Sitzungen, beispielsweise von Onlinebanking- oder Webmail-Sessions. Die Nutzer beschwerten sich: Nun soll dieser Fehler in Firefox 14 behoben sein.

Der ganze Artikel

Quelle : www.heise.de

[SiLæncer]

Eigentlich soll ein Anwender beim Surfen im privaten Modus von Firefox keine Spuren auf dem PC hinterlassen. Offenbar hat jedoch die kürzliche veröffentlichte Version 15 einen Fehler in dieser Funktion eingebaut, denn die Entwickler reichten jetzt 15.0.1 nach.

Der ganze Artikel

Quelle : www.heise.de

[SiLæncer]

Eine Sicherheitslücke in Firefox 16 hat Mozilla in Alarmbereitschaft versetzt. Als Reaktion wurde Firefox 16 von der Mozilla Homepage entfernt und steht nicht mehr zur Installation zur Verfügung. Nutzer, die bereits Firefox 16 in Betrieb haben, können als Vorsichtsmaßnahme ein Downgrade auf die nicht betroffene Version 15.0.1 durchführen.

Die Sicherheitslücke in Firefox 16 kann einer bösartigen Seite erlauben, Einsicht in die Surf-Chronik von Nutzern zu nehmen; also die besuchten URLs auszulesen. Bisher gibt es keine Hinweise darauf, dass die Lücke bereits aktiv ausgenutzt wurde.

Einen Patch für die Schwachstelle plant Mozilla für den 11.10. – allerdings wahrscheinlich nach amerikanischer Zeit.

Quelle : www.heise.de

[Micke]

Gilt das auch für die 16:ner Beta-Version  

[Jürgen]

Gilt das auch für die 16:ner Beta-Version  

Höchstwahrscheinlich.
Inzwischen ist aber als Fix die 16.0.1 raus, auch als Online-Update.

[ritschibie]

Code: [Auswählen]

Jo, bis gestern hatte ich noch die 15.1 drauf, heute morgen kam das update auf die 16.01 (16.0 gleich übersprungen). Gruß Ritschie
Mozilla hat wie angekündigt eine korrigierte Version von Firefox 16 veröffentlicht. Zuvor hatte Mozilla Firefox 16 zurückgezogen, da Angreifer die besuchten URLs eines Nutzers auslesen konnten.

Der Fehler betrifft neben Firefox 16 auch die Langzeitversion Firefox 10 ESR, bei der der Fehler in der neuen Version 10.0.9 korrigiert ist, sowie Thunderbird und Seamonkey, die ebenfalls beide in neuen Versionen erschienen sind.

Quelle: www.golem.de

[SiLæncer]

Laut Trend Micro kursiert auf Warez-Seiten und im BitTorrent-Netz derzeit der Trojaner PASSTEAL, der den gesamten Passwortspeicher des Browsers ausliest und an Cyber-Ganoven überträgt. Der Schädling soll sich in Raubkopien von Programme und eBooks verstecken.

Beim Auslesen der Zugangsdaten macht es sich PASSTEAL leicht: Laut dem Bericht missbraucht der Trojaner hierzu unter anderem das kostenlose Windows-Tool WebBrowserPassView, welches eigentlich absolut harmlos ist, solange man es nur dazu nutzt, die eigenen Zugangsdaten aus dem Browser zu retten. Das Programm unterstützt alle gängigen Browser. Wer wissen will, was es auf dem eigenen Rechner zu holen gibt, kann das mit dem Tool schnell überprüfen.

Indem man in Firefox und Opera ein Master-Passwort setzt, macht man es Angreifern etwas schwerer, die im Browser gespeicherten Zugangsdaten auszulesen; Google Chrome und IE bieten diese Option nicht. Das Master-Passwort schützt zwar vor PASSTEAL, nicht aber davor, dass ein Angreifer mit einer anderen Malware zunächst die verschlüsselte Passwort-Datenbank und anschließend mit einem Keylogger auch noch das dazugehörige Master-Passwort abgreift. Das Gleiche gilt beim Einsatz eigenständiger Passwort-Manager wie KeePass.

Da man sich die Malware, die den Rechner befällt, nicht aussuchen kann, sollte man sich also gut überlegen, ob man überhaupt Zugangsdaten auf dem Rechner speichert. Eine trojaner-sichere Alternative ist ein Zettel, den man in der Geldböse oder im Tresor aufbewahrt.

Quelle : www.heise.de

[ritschibie]

Seit rund 19 Monaten arbeitet Mozilla an einer neuen Version des Modus "privates Surfen" für Firefox. Damit soll es nicht länger notwendig sein, die gesamte Browsersession zu beenden, nur um in einem Fenster den Modus zu nutzen. Andere Browser bieten das schon länger, in einer der kommenden Versionen von Firefox soll der neue Code integriert werden. Er kann ab sofort in den aktuellen Nightly Builds von Firefox getestet werden.

Damit ist es dann möglich, ein neues Fenster im privaten Modus zu öffnen, ohne dass die übrigen Fenster davon beeinflusst werden. Das Ganze lässt sich direkt über das Kontextmenü mit einem Rechtsklick auf einen Link einleiten.

Der ganze Artikel

Quelle: www.golem.de

[SiLæncer]

Ein Mechanismus, mit dem der freie Browser Firefox das heimliche Installieren von Add-ons verhindern will, lässt sich unter bestimmten Umständen aushebeln. Das beschreibt Julien Sobrier in einem Blog-Beitrag der Sicherheitsfirma Zscaler Research. Die Lücke lässt sich jedoch nur durch ein Programm ausnutzen, das ohnehin Schreibzugriff auf das Profile-Verzeichnis des Firefox hat. In der Regel dürfte es dann auch andere Benutzerdaten zumindest lesen können.

Sobrier erwähnt als Beispiel für das Verfahren Programme, die eine Toolbar im Browser installieren. Sie kopieren das Add-on in das Profile-Verzeichnis, und beim nächsten Neustart bittet Firefox den Benutzer um Zustimmung zur Installation. Dazu verlässt er sich auf die Datenbank extensions.sqlite: Deren Tabelle addon enthält alle bereits installierten und vom Benutzer gebilligten Erweiterungen.

Der ganze Artikel

Quelle : www.heise.de

[SiLæncer]

Mozilla hat das Überwachungssoftware-Unternehmen Gamma International abgemahnt. Der Grund: Gammas Spionage-Software FinFisher/FinSpy - die auch von der deutschen Bundesregierung als neuer "Staatstrojaner" angekauft wurde - maskiert sich, um einer Entdeckung zu entgegen, mitunter als Mozillas Firefox-Browser. Darin sieht Mozilla einen Missbrauch seiner Marke, gegen den das Projekt nun vorgeht.

Mozilla hat das Überwachungssoftware-Unternehmen Gamma International abgemahnt. Der Grund: Gammas Spionage-Software FinFisher - die auch von der deutschen Bundesregierung als neuer "Staatstrojaner" angekauft wurde - maskiert sich, um einer Entdeckung zu entgegen, mitunter als Mozillas Firefox-Browser.

Anlass für den Schritt Mozillas war ein Bericht der Bürgerrechts-Gruppe "Citizen Lab", in dem es heißt, Gammas Spionage-Software sei darauf programmiert, sich als Firefox auszugeben, um einer Entdeckung zu entgegen. Mozilla schickte Gamma daher am gestrigen Dienstag eine Abmahnung, in der die sofortige Unterlassung dieser, wie Mozilla betont, "illegalen Handlungen", gefordert wird.

Mozilla sei "ein Open-Source-Projekt, dem hunderte Millionen Menschen in aller Welt vertrauen", betonte die Stiftung in einem Blogeintrag, der die Hintergründe der Abmahnung erläutert. Der Schutz der eigenen Marken vor derartigem Missbrauch sei daher "sehr wichtig für unsere Marke, unsere Nutzer und den fortlaufenden Erfolg unserer Mission", betont Mozilla. Mozilla lege außerdem großen Wert auf Sicherheit und Datenschutz. Daher könnten die Projektverantwortlichen "es nicht ertragen, dass eine Software-Firma [Mozillas] Namen nutzt, um Online-Überwachungstools zu tarnen, die von Gammas Kunden genutzt werden können - und in einigen Fällen bereits genutzt wurden - um die Menschenrechte und Privatsphäre von Bürgern zu verletzen".

In seinem Blogeintrag betont Mozilla auch, dass die Spyware den eigentlichen Firefox-Browser weder bei der Installation noch im Betrieb beeinflusst. Die Gamma-Softwre sei "vollkommen separat" und nutze lediglich Mozillas Markennamen, um "als eine ihrer Methoden zum Verhindern von Entdeckung und Löschung zu lügen und zu täuschen". So sei die ausführbare Datei des Trojaners in den Eigenschaften als "Firefox.exe" benannt und enthalte auch entsprechende Hersteller-Informationen. Im Quellcode sei zudem das "Assembly Manifest" von Firefox 1:1 kopiert und eingefügt worden.

Ciizen Lab weiß von mindestens drei Fällen zu berichten, in denen eine derartige Täuschung geschah: einem Spyware-Angriff gegen pro-demokratische Aktivisten in Bahrain, Spionage-Aktivitäten im Umfeld der bevorstehenden Parlamentswahlen in Malaysia und einem von Gamma produzierten Demo-Video, mit dem die Spionage-Software beworben wird.

Eine Stellungnahme von Gamma International zu der Abmahnung liegt noch nicht vor.

Quelle : www.gulli.com

[SiLæncer]

Die Mozilla Foundation ruft unabhängige Sicherheitsexperten zur regelmäßigen Kontrollen des Firefox-Quellcodes und verifizierter Builds auf. Hintergrund ist die durch die NSA-Enthüllungen publik gewordene, nahezu umfassende Überwachung aller digitalen Kommunikationskanäle. Mozillas Cheftechniker Brendan Eich und Andreas Gal, Vice President für Forschung und Entwicklung, greifen dabei in einem Blogbeitrag den Vorwurf auf, dass Hersteller von den Behörden gezwungen werden, Hintertüren für die Spionage in ihre Produkte zu integrieren.

Prinzipiell stehe hinter jedem Browser ein Unternehmen oder eine Organisation, die von Behörden derart in die Pflicht genommen werden können, erklären Eich und Gal. Auch wenn sie von keinem entsprechenden Fall wüssten, könnten Knebelerlasse im Hintergrund dafür sorgen, dass die Hersteller schweigen müssten und die Öffentlichkeit folglich nichts erfahre. Dementsprechend dürfe der Nutzer auch nicht blind einem Anbieter vertrauen.

Mozillas Firefox habe aber den Vorteil, hundert Prozent Open Source und damit anders als proprietäre Angebote überprüfbar zu sein. So könnten Sicherheitsexperten den Firefox-Quellcode regelmäßig prüfen und den von ihnen selbst daraus erzeugten Binärcode mit dem von Mozilla verteilten vergleichen. Durch Zusammenarbeit mit verschiedenen unabhängigen Stellen, die so regelmäßig auditierten, könne ein weltweites Prüfsystem etabliert werden, das mehr für Sicherheit sorge. Sollten Unregelmäßigkeiten auftauchen, könnte die Öffentlichkeit alarmiert werden. Die Frage, wie dabei mit Firefox-Addons umgegangen werden soll, schneiden die beiden Autoren nicht an.

Quelle : www.heise.de

[SiLæncer]

Einige Sicherheits-Appliances, die Man-in-the-Middle-Analysen durchführen, kommen nicht damit klar, dass Firefox ab dem 1. Januar SHA-1-Zertifikate ablehnt. Darum hat Mozilla SHA-1 fürs erste wieder für akzeptabel erklärt.

Am 1. Januar hat Firefox planmäßig damit angefangen, die als unsicher geltenden SHA-1-Zertifikate zurückzuweisen. Da dies bei einigen Nutzern zu Problemen geführt hat, macht Mozilla diesen Schritt nun mit einem neuen Firefox-Update wieder rückgängig. Die Entwickler wollen SHA-1 nach wie vor ausmustern, allerdings wurde ein erneuter Versuch erst einmal auf unbestimmte Zeit vertagt.

Auslöser für den Rückzieher sind laut Mozilla Sicherheits-Produkte, die Man-in-the-Middle-Entschlüsselung durchführen. Darunter Web-Filter und Anti-Viren-Software, die verschlüsselten SSL-Traffic aufmachen muss, um den Inhalt zu untersuchen. Viele Produkte kommen offensichtlich nicht damit klar, dass der Browser die von ihnen verteilten SHA-1-Zertifikate nicht akzeptiert. Darunter sind auch die Web-Interfaces einiger Home-Router. Laut Mozilla arbeiten viele der Hersteller daran, das Problem in ihren Geräten zu lösen. Bis diese Probleme für viele Nutzer behoben sind wolle man deswegen weiterhin SHA-1 erlauben.

Wer nicht mehr surfen kann, braucht das Firefox-Update

Nutzer, die mit Firefox seit dem 1. Januar nicht mehr surfen können, sollten die neueste Firefox-Version installieren. Das klappt allerdings nicht aus dem betroffenen Netz, da auch Firefox-Updates über SSL verteilt werden. Als Workaround kann man auch den Wert security.pki.sha1_enforcement_level im about:config-Dialog des Browsers auf 0 setzen.

Bereits im Dezember hatten Facebook und Cloudflare zu bedenken gegeben, dass ein generelles SHA-1-Verbot Probleme für manche Nutzer bereiten könnte. Denn auch in Entwicklungsländern gibt es noch viele Geräte, die mit SHA-1 nicht klar kommen. Microsoft will SHA-1 zum 1. Januar 2017 in Rente schicken.

Quelle : www.heise.de