Eine französische Hackergruppe hat einen sogenannten Exploit (also eine Schadfunktion) im Internet veröffentlicht, , mit dem Web-Seiten Windows-Anwendern beliebigen Code unterjubeln und diesen ausführen können.
Ursache des Problems ist ein Fehler bei der Verarbeitung von Firefox Extensions durch bestimme JavaScripte.
Dadurch ist es möglich beliebige Daten auf das Lokale Laufwerk des Firefox-Users zu installieren, unter anderem Trojaner etc...
Abhilfe schafft das abschalten von Javascript oder die Deaktivierung der Option "Websites das Installieren von Software erlauben" ..
Kritische Lücken in Firefox - Version 1.0.3
nee, der schadcode ist ein totaler unterschied zu den möglichen fehlern im IEX.
Die Lücke entsteht durch fehlerhaften Javascriptcode. Javascript war aber schon immer (und in allen Browsern) ein grosses Einfalltor für Exploits, Dialer etc..
Technisch gesehen sind das also Fehler die zwar auf die Programmierung von Firefox einfluss nehmen müssen (Patches), aber genauso sind andere Browser von diesen Gefahren betroffen (nicht von dieser, aber von allen die Javascript so mit sich bringt)...
Beim Internet Explorer gibt es ausserdem noch sogenannte ActiveX-Komponenten. Das ist eine sogenannte Schnittstelle die es erlaubt das selberprogrammierte Tools (zum Beispiel Windowsupdate) eine Software auf dem PC ausführen können. Das hat folgende Nachteile:
1. ActiveX ist "ClosedSource" (Anwendung nur auf Windows Systemen mit IE möglich)
2. ActiveX wird im InternetExplorer in der lokalen Zone ausgeführt (siehe Extras -> Erweitert -> Sicherheit??) Das führt dazu das ein ActiveX-Programm die selben Rechte hat wie der Benutzer der den InternetExplorer benutzt (ein weiterer Grund warum man nicht als Admin eingeloggt sein sollte)...
Firefox (und alle anderen Browser ausser IEX) haben diese Schnittstelle nicht, weshalb sie von sich aus schon sicherer sind als der InternetExplorer.
Ausserdem werden bei Mozilla (und Firefox) die Fehler ja schon kurz nach dem Bekanntwerden gepatcht. Vom entdecken der Lücke bis zum Fixen dauert das ganze bei der Mozilla-Foundation (Dank OpenSource !!! (-. ) ganze 5 Tage.
1. Tag -> "Eh da isn Exploit. Schau ma ma wie er funktioniert..."
2. Tag -> "Hmm. Ok wir haben das Problem gelöst, einmal update bitte"
3. Tag -> Update liegt auf dem Hauptserver, Mirrors werden mit dem neuen Patch beliefert
4. Tag -> Firefox zeigt das Update-Icon an
5. Tag -> Der User lädt das Update runter und ist wieder sicher bis zur nächsten lücke...
Bei Microsoft dauert es ungefähr 9 Wochen:
1. Woche -> Exploit wird erstellt und einer kleinen Communit y verfügbar gemacht
2. Woche -> Microsoft wird informiert das ein Exploit existiert und bleibt skeptisch
3. Woche -> Die "NichtElite" bekommt Wind von dem Exploit, Microsoft schreibt einen Hotfix (der nicht veröffentlicht wird)
4. Woche -> Öffentliche Security-Magazine im Internet riechen den Braten und veröffentlichen Warnungen (Heise-Security etc...) Microsoft wird mit einem Offenen Brief darauf hingewiesen das der IE oder Windoof einen neuen Fehler hat.
5. Woche -> Microsoft schreibt einen Patch. Er wird nicht vor Dienstag fertig
6. Woche -> Dienstag ist der Patch für Grossunternehmen verfügbar
7. Woche -> Der Patch ist am nächsten Dienstag per Windowsupdate verfügbar
8. Woche -> Die ersten deutschen User erhalten den Patch
9. Woche -> Der nächste Exploit ist vor 2 Wochen erschienen und befindet sich in Phase 2
Die Lücke entsteht durch fehlerhaften Javascriptcode. Javascript war aber schon immer (und in allen Browsern) ein grosses Einfalltor für Exploits, Dialer etc..
Technisch gesehen sind das also Fehler die zwar auf die Programmierung von Firefox einfluss nehmen müssen (Patches), aber genauso sind andere Browser von diesen Gefahren betroffen (nicht von dieser, aber von allen die Javascript so mit sich bringt)...
Beim Internet Explorer gibt es ausserdem noch sogenannte ActiveX-Komponenten. Das ist eine sogenannte Schnittstelle die es erlaubt das selberprogrammierte Tools (zum Beispiel Windowsupdate) eine Software auf dem PC ausführen können. Das hat folgende Nachteile:
1. ActiveX ist "ClosedSource" (Anwendung nur auf Windows Systemen mit IE möglich)
2. ActiveX wird im InternetExplorer in der lokalen Zone ausgeführt (siehe Extras -> Erweitert -> Sicherheit??) Das führt dazu das ein ActiveX-Programm die selben Rechte hat wie der Benutzer der den InternetExplorer benutzt (ein weiterer Grund warum man nicht als Admin eingeloggt sein sollte)...
Firefox (und alle anderen Browser ausser IEX) haben diese Schnittstelle nicht, weshalb sie von sich aus schon sicherer sind als der InternetExplorer.
Ausserdem werden bei Mozilla (und Firefox) die Fehler ja schon kurz nach dem Bekanntwerden gepatcht. Vom entdecken der Lücke bis zum Fixen dauert das ganze bei der Mozilla-Foundation (Dank OpenSource !!! (-. ) ganze 5 Tage.
1. Tag -> "Eh da isn Exploit. Schau ma ma wie er funktioniert..."
2. Tag -> "Hmm. Ok wir haben das Problem gelöst, einmal update bitte"
3. Tag -> Update liegt auf dem Hauptserver, Mirrors werden mit dem neuen Patch beliefert
4. Tag -> Firefox zeigt das Update-Icon an
5. Tag -> Der User lädt das Update runter und ist wieder sicher bis zur nächsten lücke...
Bei Microsoft dauert es ungefähr 9 Wochen:
1. Woche -> Exploit wird erstellt und einer kleinen Communit y verfügbar gemacht
2. Woche -> Microsoft wird informiert das ein Exploit existiert und bleibt skeptisch
3. Woche -> Die "NichtElite" bekommt Wind von dem Exploit, Microsoft schreibt einen Hotfix (der nicht veröffentlicht wird)
4. Woche -> Öffentliche Security-Magazine im Internet riechen den Braten und veröffentlichen Warnungen (Heise-Security etc...) Microsoft wird mit einem Offenen Brief darauf hingewiesen das der IE oder Windoof einen neuen Fehler hat.
5. Woche -> Microsoft schreibt einen Patch. Er wird nicht vor Dienstag fertig
6. Woche -> Dienstag ist der Patch für Grossunternehmen verfügbar
7. Woche -> Der Patch ist am nächsten Dienstag per Windowsupdate verfügbar
8. Woche -> Die ersten deutschen User erhalten den Patch
9. Woche -> Der nächste Exploit ist vor 2 Wochen erschienen und befindet sich in Phase 2