Mozilla und Firefox geben sensible Informationen preis

Re: Mozilla und Firefox geben sensible Informationen preis

Dr. Watson — Sun, 12 Feb 2006 14:18:32 GMT

Wird hier jetzt für jeden Fehler eines x-beliebigen Browsers ein neues Thema eröffnet?

Willst du nicht gleich für jeden Bugzilla Eintrag ein neues Thema eröffnen?

Re: Mozilla und Firefox geben sensible Informationen preis

Bart Simpson — Sun, 12 Feb 2006 13:31:24 GMT

tja...ich nehm sowieso nur opera

Re(3): Mozilla und Firefox geben sensible Informationen preis

obsolet — Sat, 11 Feb 2006 23:37:13 GMT

Komisch bei Secunia sind aber 2 Lücken aus dem Jahr 2004 weiterhin als offen gekennzeichten.

Von wegen alle Fehler gleich beheben - Woher diese Ammenmärchen kommen möcht ich mal wissen

Neue IE-Lücke veröffentlicht

barbos — Mon, 06 Feb 2006 21:50:14 GMT

ha ha

http://www.heise.de/security/news/meldung/69225

Re: Mozilla und Firefox geben sensible Informationen preis

barbos — Mon, 06 Feb 2006 21:42:34 GMT

NoScript

Re: Mozilla und Firefox geben sensible Informationen preis

teleth — Mon, 06 Feb 2006 20:46:52 GMT

die perfekte software gibt es nicht, fehler gibts dort wie da ... nur da halt ein bißchen mehr oder weniger als dort

Re(2): Mozilla und Firefox geben sensible Informationen preis

pong — Mon, 06 Feb 2006 19:53:33 GMT

Bei den Open Source Sachen wird wenigstens ein Problem publiziert und nicht totgeschwiegen und so nebst an einer Lösung in absehbarer Zeit gearbeitet....

pong

Re(2): Mozilla und Firefox geben sensible Informationen preis

eierschwammerl — Mon, 06 Feb 2006 18:44:08 GMT

Wahrscheinlich weil Firefox-User sich im Klaren sind, dass jede Software Sicherheitslücken aufweist, sie diese allerdings seit der Benutzung des Firefox nur noch aus ihrer Internet Explorer-Vergangenheit kennen.

Re: Mozilla und Firefox geben sensible Informationen preis

Binchen — Mon, 06 Feb 2006 18:31:00 GMT

Wo sind Eure Kommentare? Bei IE (MS-Produkten) wird doch auch immer gleich hergezogen.

Re: Mozilla und Firefox geben sensible Informationen preis

Binchen — Mon, 06 Feb 2006 18:31:00 GMT

Wo sind Eure Kommentare? Bei IE wird doch auch immer gleich hergezogen.

Mozilla und Firefox geben sensible Informationen preis

Da Horstl — Mon, 06 Feb 2006 14:06:01 GMT

Das nur von Browsern der Mozilla-Familie unterstützte Element für Cascading Stylesheets (CSS) "-moz-binding" lässt sich nutzen, um mit Hilfe einer manipulierten Website beliebigen JavaScript-Code in das Document Object Model (DOM) des Browsers einzuschleusen. Dadurch ist es möglich, so genannte Inter-Domain-Zugriffe auf Daten durchzuführen, die andere Websites zur Identifizierung des Nutzers im Browser hinterlegen, wie beispielsweise Cookies und Session-IDs. Schlimmstenfalls kann ein Angreifer durch dieses Cross-Site-Scripting[1] (XSS) auf den Namen des Opfers beispielsweise Bezahldienste und Online-Portale nutzen und Zugang zu weiteren sensiblen Daten erlangen.

Betroffen von dem Problem sind alle Browser der Mozilla-Familie einschließlich Netscape und Firefox. Auch das gerade erst freigegebene Update auf Firefox 1.5.0.1[2] behebt das Problem noch nicht.
Ursprünglich sollte "-moz-binding" Stylesheet-Entwicklern stärkeren Einfluss auf das Erscheinungsbild des Browsers ermöglichen. Doch ähnlich der DHTML-Lücke[3] des Internet Explorers und der Chrome-Problematik[4] von Mozilla bergen derartige Funktionen auch ein häufig unterschätztes Potenzial für Missbrauch.

Siehe dazu auch:

Eintrag in der Fehlerdatenbank von Mozilla[5]

(cr[6]/c't)

URL dieses Artikels:
  http://www.heise.de/security/news/meldung/69159

Links in diesem Artikel:
  [1] http://www.heise.de/security/artikel/38658
  [2] http://www.heise.de/security/news/meldung/69139
  [3] http://www.heise.de/security/news/meldung/54352
  [4] http://www.heise.de/security/artikel/61652/0
  [5] https://bugzilla.mozilla.org/show_bug.cgi?id=324253