Abo
  1. Foren
  2. Kommentare (alt, bis 13.1.2005)
  3. Software
  4. Büro…

Cross-Domain-Sicherheitslücke in fast allen Browsern

  1. Thema
  1. 1
  2. 2
  3. 3
  4. 4
  5. 5
  6. 6

Neues Thema Ansicht wechseln


  1. Cross-Domain-Sicherheitslücke in fast allen Browsern

    Autor: Golem.de 02.07.04 - 10:46

    Nach einem Beitrag auf der Sicherheitsseite Secunia.com befindet sich die Sicherheitslücke zur Verhinderung von Cross-Domain-Zugriffen nicht nur wie zunächst angenommen im aktuellen Internet Explorer, sondern wurde in den meisten aktuellen Browsern entdeckt. Das Sicherheitsleck erlaubt es Angreifern, bei mehr als einem geöffneten Browser-Fenster gefälschte Inhalte in einer Frame-Seite anzuzeigen und dem Nutzer so eine andere Herkunft der Daten vorzugaukeln.

    https://www.golem.de/0407/32131.html

  2. Wie schön...

    Autor: Laser VZ 200 02.07.04 - 10:53

    ...dass dieses Mal fast alle dran sind.

    Gruß
    Laser VZ 200

  3. Re: Wie schön...

    Autor: Subbie 02.07.04 - 10:55

    jup

    aber von netscape steht da nix... ok der basiert auf mozilla aber auf der neuen version ohne die lücke oder noch auf der alten?

  4. Re: Cross-Domain-Sicherheitslücke in fast allen Browsern

    Autor: Teddy 02.07.04 - 10:56

    Na das kommt mir doch bekannt vor! Wie war das noch, IE ist ein Scheunentor? Nun, anscheinend die anderen Browser auch ;), ...

  5. Dann eben Firefox 0.9 DE

    Autor: panther40k 02.07.04 - 10:59

    > Einzig Mozilla 1.7 sowie Firefox ab der Version 0.9 weisen diese
    > Sicherheitslücke nicht mehr auf.

    Zum Glück ist ja gerade die deutsche Version von Firefox 0.9.1 erschienen: www.firefox-browser.de

    --
    MfG,
    panther40k

  6. Reiner Sarkasmus ... oder auch nicht?

    Autor: Autor 02.07.04 - 11:01

    Jetzt bin ich mal gespannt, was hier so alles gepostet wird.
    Besonders nachdem gestern soviel ihren virtuellen Mund etwas zu weit aufgerissen haben.

    Nobody is perfect bei der Software entwicklung.
    Also lassen wir bitte mal das Flamen sein :)

  7. Golem.de ist Microsoft feindlich

    Autor: JTR 02.07.04 - 11:02

    Unglaublich wie reisserisch letzte Woche die vorgänge Meldung war, als es nur um den IE geht. Wieso wird nun nicht genauso stark über die anderen Hersteller hinweggezogen? Man merkt deutlich dass weder bei Golem.de noch bei Heise.de wirklich objektiver Journalismus betrieben wird, sondern auch auf boulvardpressenniveau ins gleiche Horn geblasen wird, so quassi, gegen Microsoft zu sein ist in.

    Versteht mich nicht falsch, ich benutze selber den Mozilla zum surfen, dennoch darf man auch mal deren Schwächen recht anprangern. Denn alles was Microsoft macht, ist nun auch wieder nicht schlecht, auch wenn sie einer der dominierensten IT Firmen der Welt sind (aber eben nicht die einzige).

  8. Firefox ist NICHT betroffen

    Autor: Kenneth Staker 02.07.04 - 11:08

    Klar, es steht im Artikel, aber vorher wird er mit aufgezählt.
    Es gibt nunmal FF 0.9.1 und da kann man nicht lapidar behaupten der FF ist betroffen, weil ne alte Version betroffen ist.

  9. Re: Golem.de ist Microsoft feindlich

    Autor: Nibbler 02.07.04 - 11:09

    Im aktuellen Mozilla ist das Problem wohl schon gefixt. Von mir aus können wir jetzt gerne noch über den IE diskutieren. Ausserdem glaube ich nicht an die MS Sicherheitsstrategie von "Security by obscurity".

  10. Re: Golem.de ist Microsoft feindlich

    Autor: LX 02.07.04 - 11:15

    Ja und? Selbst wenn das der Fall sein sollte gibt es keinen Grund für M$ zu posten (außer man bekommt Geld dafür ;-))

    Ich gehe davon aus, dass dir die Geschäftspolitik von M$ bekannt ist. M$ geht mit seiner Konkurrenz nicht besonders zimperlich um...
    Was im Weg steht wird aufgekauft oder plattgemacht. Dummerweise geht das nicht mir OpenSource, aber da gibt es ja auch einen Weg - Stichwort Softwarepatente.

  11. Re: Reiner Sarkasmus ... oder auch nicht?

    Autor: Thomas 02.07.04 - 11:15

    Autor schrieb:
    >
    > Jetzt bin ich mal gespannt, was hier so alles
    > gepostet wird.
    > Besonders nachdem gestern soviel ihren
    > virtuellen Mund etwas zu weit aufgerissen haben.
    >
    > Nobody is perfect bei der Software entwicklung.
    > Also lassen wir bitte mal das Flamen sein :)

    Richtig, Fehler geschehen, wichtig ist aber, *wie* mit diesen Fehlern umgegangen wird und da zeigt sich einfach, daß Mozilla wesentlich schneller, nämlich gleich nach Bekanntwerden dieser Schwachstelle reagiert hat und somit die aktuellen Produkte (Mozilla 1.7 und Firefox >= 0.9) sicher (im Bezug auf diese Gefahr) sind.
    Benutzer des Internet Explorers werden wohl noch bis Longhorn mit dem Problem leben müssen.

    --Thomas

  12. So reagieren Mozilla, Opera und Microsoft auf die Sicherheitslücke

    Autor: Thomas 02.07.04 - 11:17

    Hier weitere Informationen von Jesse Ruderman, einem der Entdecker dieser Schwachstelle:
    http://developers.slashdot.org/comments.pl?sid=113139&cid=9584803

    Lorenzo Colitti and I found the same hole several weeks ago, independently of Mark Laurence. I reported it to mozilla.org on June 11 and to Microsoft and Opera on June 16. I got different results from each browser maker:

    Mozilla (bugzilla.mozilla.org 246448)
    Fixed on June 14. Firefox 0.9 released with the fix June 14. Mozilla 1.7 released with the fix June 17.
    Opera (bugs.opera.com 145283)
    No response.
    Microsoft
    On June 21, I received an e-mail containing the following: "... is by design. To prevent this behavior, set the 'Navigate sub-frames across different domains' zone option to Prompt or disable in the Internet zone. We are trying to get this fixed in Longhorn ... on getting this blocking on by default in XP SP2 but blocking these types of navigations is an app compatibility issue on many sites." I usually don't get any response from Microsoft when I report security holes to them; I think I only got a response this time because I used my employer's premier support contract with Microsoft.

    Another cross-browser security hole I found (bugzilla.mozilla.org 162020) got similar responses from each browser maker: fixed in Mozilla 1.7 and Firefox 0.9; no response from Opera; confusing statement from Microsoft mentioning XP SP2. 162020 is an arbitrary code execution hole.

  13. Re: Golem.de ist Microsoft feindlich

    Autor: Michael - alt 02.07.04 - 11:24

    >Ja und? Selbst wenn das der Fall sein sollte gibt es keinen Grund
    >für M$ zu posten (außer man bekommt Geld dafür ;-))
    Bist Du ein bißchen behindert oder so? Wenn Du das Recht hast, Dich gefühlsmäßig für eine Richtung zu entscheiden und das auch in Anspruch nimmst, dann gilt dieses Recht auch für andere und andere Richtungen. Menschen die anders denken als korrupt zu bezeichnen, ist entweder unsäglich dumm, oder schlicht Trollerei.

  14. Re: Golem.de ist Microsoft feindlich

    Autor: JTR 02.07.04 - 11:26

    Jeder der in der Wirtschaft zimperlich ist, sollte gefeuert werden. Denn du kannst dir gute Manieren heute schlicht nicht mehr erlauben, das kann kein grösserer Konzern mehr. Glaubst du wirklich an das Märchen, dass MS böse ist und die anderen alle gut? Du solltest bei Bush in die Antiterrorkamapgne einsteigen, die ideale Einstellung hast du jedenfalls schon mal.

    Und zu Softwarepatente: Ähm meines Wissens ist IBM da ebenso fleissig wie MS, oder wer hat den Fortschrittsbalken patentieren lasen. Komisch dass so blinde Fanatiker, die einfach umsverecken aus Neid heraus ein Feindbild brauchen, nicht sehen, dass das was sie MS exklusiv unterstellen auf die Mehrheit der Konkurenten von MS ebenfalls zutrifft.

  15. Re: So reagieren Mozilla, Opera und Microsoft auf die Sicherheitslücke

    Autor: d43M0n 02.07.04 - 11:30

    Thomas schrieb:
    >
    > Hier weitere Informationen von Jesse Ruderman,
    > einem der Entdecker dieser Schwachstelle [...]

    Das ist ja mal interessant... "Trying to get this fixed in Longhorn" finde ich besonders gut :)

  16. Re: Wie schön...

    Autor: ip (Golem.de) 02.07.04 - 11:31

    > aber von netscape steht da nix... ok der basiert
    > auf mozilla aber auf der neuen version ohne die
    > lücke oder noch auf der alten?

    das Sicherheitsloch steckt auch in Netscape, da es ja nur auf die Funktionen von Mozilla aufbaut. Wurde nun auch exemplarisch im Meldungstexte genannt.

    Gruß,
    Ingo Pakalski
    Golem.de

  17. alles korekt

    Autor: ip (Golem.de) 02.07.04 - 11:35

    Hallo,

    der Hinweis auf Firefox und auch Mozilla ist angemessen und auch notwendig. Schließlich installiert nicht jeder sofort bei Erscheinen einer neuen Browser-Version diesen. Und so erfahren Nutzer einer früheren Firefox- und Mozilla-Version, dass jetzt der richtige Zeitpunkt für ein Update gekommen ist ;-)

    Gruß,
    Ingo Pakalski
    Golem.de

  18. Re: Golem.de ist Microsoft feindlich

    Autor: NoQuarter 02.07.04 - 11:37

    Was für ein Problem hast du denn? *g* Firefox und Mozilla sind nicht mehr betroffen. Und der Patch für Opera folgt in den nächsten Tagen. Wollen wir mal wetten wann Microsoft dieses Loch patcht? ;o)

  19. der Konqui rulet alles weg ;)

    Autor: sleipnir 02.07.04 - 11:37

    Mit dem Konqueror klappts nich :) Der scheint sicher zu sein und damit vermutlich auch Safari (hab leider keinen MAC ums zu testen)

  20. Re: Golem.de ist Microsoft feindlich

    Autor: Sinbad 02.07.04 - 11:42

    > Unglaublich wie reisserisch letzte Woche die
    > vorgänge Meldung war, als es nur um den IE geht.

    da war nichts Reißerisches dabei, man sollte nicht immer so zimperlich sein, wenn man sich angegriffen fühlt. Aber warum fühlt man sich nur angegriffen? ;-)

    Bei der IE-Geschichte wurde ein Sicherheitsloch entdeckt, das Microsoft bereits vor etlichen Jahren schon mal in früheren IE-Versionen gefixt hat und das nun wieder in den aktuellen Versionen drin ist. Das ist an Frechheit und Peinlichkeit kaum zu überbieten. Nun wurde bekannt, dass auch andere Browser das gleiche Problem haben, mit dem Unterschied, dass die nicht vor zig Jahren einen Patch für frühere Browser-Versionen angeboten haben und den Fehler dann in einer späteren Version wieder hinein programmiert haben.

    > Wieso wird nun nicht genauso stark über die
    > anderen Hersteller hinweggezogen?

    Ich weiß nicht, was für eine Art von Beobachtungsgabe du hast, aber in dem Artikel wird der Umstand schon ziemlich scharft beschrieben. Und hergezogen ist man bei der IE-Geschichte nicht, man hatte halt zusätzliche Fakten wegen dem bereits gefixt geglaubten Sicherheitsleck. Das verändert die Sachlage nun mal. Wenn man vergleicht, sollte man auch die Unterschiede herausstellen, das hilft immer ;-)

    > Man merkt
    > deutlich dass weder bei Golem.de noch bei
    > Heise.de wirklich objektiver Journalismus
    > betrieben wird

    Man merkt deutlich, dass du die beiden Meldungen offenbar nur oberflächlich analysiert hat ;-)

  1. Thema
  1. 1
  2. 2
  3. 3
  4. 4
  5. 5
  6. 6

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Zum Login

Stellenmarkt
  1. JOB AG Technology Service GmbH, Münster
  2. EDAG Engineering GmbH, Ingolstadt
  3. KION Group IT, Hamburg, Aschaffenburg
  4. Berliner Verkehrsbetriebe (BVG), Berlin

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Spiele-Angebote
  1. (-55%) 44,99€
  2. 4,99€
  3. 0,49€


Haben wir etwas übersehen?

E-Mail an news@golem.de


Alexa: Das allgegenwärtige Ohr Amazons
Alexa
Das allgegenwärtige Ohr Amazons

Die kürzlich angekündigten Echo-Produkte bringen Amazons Sprachassistentin Alexa auf die Straße und damit Datenschutzprobleme in die U-Bahn oder in bisher Alexa-freie Wohnzimmer. Mehrere Landesdatenschutzbeauftragte haben Golem.de erklärt, ob und wie die Geräte eingesetzt werden dürfen.
Von Moritz Tremmel

  1. Digitaler Assistent Amazon bringt neue Funktionen für Alexa
  2. Echo Frames und Echo Loop Amazon zeigt eine Brille und einen Ring mit Alexa
  3. Alexa Answers Nutzer smarter Lautsprecher sollen Alexa Wissen beibringen

Gemini Man: Überflüssiges Klonexperiment
Gemini Man
Überflüssiges Klonexperiment

Am 3. Oktober kommt mit Gemini Man ein ambitioniertes Projekt in die deutschen Kinos: Mit HFR-Projektion in 60 Bildern pro Sekunde und Will Smith, der gegen sein digital verjüngtes Ebenbild kämpft, betreibt der Actionfilm technisch viel Aufwand. Das Seherlebnis ist jedoch bestenfalls komisch.
Von Daniel Pook

  1. Filmkritik Apollo 11 Echte Mondlandung als packende Kinozeitreise

Telekom Smart Speaker im Test: Der smarte Lautsprecher, der mit zwei Zungen spricht
Telekom Smart Speaker im Test
Der smarte Lautsprecher, der mit zwei Zungen spricht

Die Deutsche Telekom bietet derzeit den einzigen smarten Lautsprecher an, mit dem sich parallel zwei digitale Assistenten nutzen lassen. Der Magenta-Assistent lässt einiges zu wünschen übrig, aber die Parallelnutzung von Alexa funktioniert schon fast zu gut.
Ein Test von Ingo Pakalski

  1. Smarte Lautsprecher Amazon liegt nicht nur in Deutschland vor Google
  2. Pure Discovr Schrumpfender Alexa-Lautsprecher mit Akku wird teurer
  3. Bose Portable Home Speaker Lautsprecher mit Akku, Airplay 2, Alexa und Google Assistant

  1. Supply-Chain-Angriff: Spionagechips können einfach und günstig eingelötet werden
    Supply-Chain-Angriff
    Spionagechips können einfach und günstig eingelötet werden

    Ein Sicherheitsforscher zeigt, wie er mit Equipment für unter 200 US-Dollar mit einem Mikrochip eine Hardware-Firewall übernehmen konnte. Damit beweist er, wie günstig und realistisch solche Angriffe sein können. Vor einem Jahr berichtete Bloomberg von vergleichbaren chinesischen Spionagechips.

  2. IT an Schulen: Intelligenter Stift zeichnet Handschrift von Schülern auf
    IT an Schulen
    Intelligenter Stift zeichnet Handschrift von Schülern auf

    Stabilo und der Bund wollen einen Stift entwickeln, der Kinder bei Defiziten mit der Handschrift unterstützt. Mit Hilfe von Machine Learning und einer mobilen App analysiert das System das Geschriebene und passt Übungen an. Das Projekt ist mit 1,77 Millionen Euro beziffert.

  3. No Starch Press: IT-Verlag wirft Amazon Verkauf von Schwarzkopien vor
    No Starch Press
    IT-Verlag wirft Amazon Verkauf von Schwarzkopien vor

    Der Fachverlag No Starch Press wirft Amazon vor, Schwarzkopien von Büchern aus seinem Verlagsangebot zu verkaufen. Dabei handele es sich explizit nicht um Drittanbieter, sondern Amazon selbst als Verkäufer. Das geschieht nicht das erste Mal.


  1. 16:54

  2. 16:41

  3. 16:04

  4. 15:45

  5. 15:35

  6. 15:00

  7. 14:13

  8. 13:57