Sicherheitslücke bei Benutzung von zwei Browsern (laut Web.de).

Heute habe ich eine Sicherheitsmeldung bei web.de gelesen, Laut BDI...
wenn zwei Browser auf dem Rechner sind IE7 + Firefox können sie sich gegenseitig beeinflussen siehe unten.

Sie könnte von Angreifern aus dem Internet dazu genutzt werden, beliebige Code auf dem Rechner auszuführen. Kern der Schwachstelle ist nach Angaben des BSI in Bonn ein so genannter URL-Protokollhandler, den das Programm Firefox auf dem PC installiert. Mit seiner Hilfe könnten Anwendungen, die die Internetsprache HTML interpretieren und umsetzen können - zum Beispiel der zum Surfen verwendete Internet Explorer - den Firefox-Browser öffnen. Weil in diesem Fall eine Sicherheitsüberprüfung unterbleibt, könne Firefox mit beliebigen Optionen aufgerufen werden.

Q.Ein Angreifer könnte also einen Anwender dazu verleiten, eine speziell gestaltete URL im Internet Explorer aufzurufen, so dass er beliebige Aktionen mit den Rechten des angemeldeten Benutzers auf dem Rechner ausführen kann. Es sei nicht auszuschließen, dass eine Ausnutzung der Schwachstelle auch über E-Mail-Programme erfolgt.

Da es zum Schließen der Sicherheitslücke bislang kein Patch gibt, empfiehlt das BSI, vorsichtshalber die Einträge des URL-Protokollhandlers aus der Windows-Registry zu löschen. Dazu müssen in der Windows-Kommandozeile folgende Befehle eingegeben werden: "reg delete HKCR\FirefoxHTML /f" und "reg delete HKCR\FirefoxURL /f".
(Quelle.Web.de)


Wie ernst ist diese Meldung des BDI zu nehmen, ich nutze den IE7 eigentlich nur wenn ich große Dateien herunterlade (per Modem). Da das Programm Leechget 2004 bzw 2007 bei mir nur über den IE läuft warum auch immer?

Nun möchte ich nicht unbedingt irgend etwas in der Registry löschen und Schäuble und Co sagen prima ...... .?????
Was ist an der Sache wirklich dran wenn man den Firefox 2.004 zu 98 Prozent benutzt?
VG Joe

 

PC-Welt vor vier Tagen ...

 

Die aufgezeigte Lücke (Mozilla: Bug 384384) ist als Highly critical [1] gestuft! Hier wird dieses Cross Browser Scripting zw. IE 7 und Fx 2.0.0.4 bestätigt [2].

Nicht bestätigen kann ich für den Nightly Fx 3 (getestet Build-ID: 2007071605) und dem RC2- Build Firefox 2.0.0.5 (Build-ID: 2007071317). Da ich in meinem System die Umgebungsvariable MOZ_NO_REMOTE = 1 nutze meldet sich zwar der PM, jedoch erfolgt nach Profil- Auswahl kein Aufruf des Fx- Prozesses. Dieser erfolgt nur bei Fx 2.0.0.4 (s.a.o.). Übrigens ruft Opera den Firefox nicht auf!

Der Fix des betreffenden Bugs erfolgte in den o.g. Entwicklungslinien am 10.07.2007 [3]. Das Release von Firefox 2.0.0.5 ist für Ende dieser KW angestrebt!

Ein Vorschalten des PM vor dem Start von Fx kann einen direkten Aufruf aus dem IE verhindern. Günstig ist ebenfalls die interne Verwendung des Fx- Add- Ons NoScript (aktuelle Version!)

[1] http://secunia.com/advisories/25984/
[2] http://www.xs-sniper.com/sniperscope/IE-Pwns-Firefox.html
[3] http://bonsai.mozilla.org/cvsquery.cgi?dir=mozilla/browser+mozilla/toolkit+mozilla/chrome&date=week

 

Ich habe nun die neue Version von Firefox geladen 2.0.0.5
Nun hoffe ich das Problem damit erledigt ist .
Nur braucht Firefox eine EWIGKEIT um z.B. -Web.de- auf zu rufen..
(Google.de kommt dagegen viel schneller .....).
Nach ca. 10 Minuten habe ich es aufgegeben - bei Opera geht es sehr viel schneller! Habe ich da etwas falsch gemacht? Ich habe die neue Version direkt über die Version 2.0.0.4 installiert

Wir haben hier nur die Möglichkeit über ein Modem ins Netz zu kommen.

VG Joachim

 

Normalerweise deinstalliert man zuerst die alte Version und installiert dann die neue. Oder man verwendet die Update-Funktion von Firefox.

 

Was hat Dein web.de und deine Art zu "updaten" mit dem Thread- Thema zu tun?
Der INet- Zugang hat damit wenig zu tun. web.de = IE- like! Wäre ich begeisterter web.de - Kunde sein, würde blitzartig den Browser wechseln!

 

Die Lücke im Mozilla Firefox (Bug 384384) wurde mit dem Update auf Fx 2.0.0.5 gefixt.

MfG, Manfred

 

[OT]flaps]
Fällt mir jetzt erst auf. Du benutzt ein Vokabular, welchen sich durchaus bei der einschlägigen Journalie sehen lassen kann!
[/flaps][/OT]

 

Hallo....,

ich habe halt schlicht ein Problem gehabt das wenn ich ins Internet wollte es ewig gedauert hat. (Firefox - Web.de teilweise 10 Minuten).
Als ich den Bericht (s.oben) gelesen hatte dachte ich schon ich habe mir irgend etwas eingefangen was mich ausbremst ...... Das die Lücke genutzt hat!?
Nun hatte ich gehofft, dass durch den Wechsel auf 2.0.0.5 alles wieder "normal" läuft. (Firefox noch einmal deinstalliert und danach neu installiert). Es dauert halt.....

VG Joachim