Spoofing-Lücke: Alle großen Browser sind betroffen

Dieses Thema im Forum "Ihre Meinung zu Artikeln auf pcwelt.de" wurde erstellt von vobac, 22. Juni 2005.

Status des Themas:
Es sind keine weiteren Antworten möglich.
  1. vobac

    vobac ROM

    Registriert seit:
    29. November 2002
    Beiträge:
    1
    Super, Microsoft hat schon ein Bulletin geschrieben - Opera hat eine neue Browser-Version 8.01, die den Urheber des Pop-Ups anzeigt - scheint mir die bessere Variante....
     
  2. CarpeDiem

    CarpeDiem Kbyte

    Registriert seit:
    15. Februar 2005
    Beiträge:
    181
    Kaffeebohnenschnitzer und Analphabeten, nein Danke.
     
  3. Mylin

    Mylin Viertel Gigabyte

    Registriert seit:
    20. Juni 2003
    Beiträge:
    2.757
    Alter Hut. Firefox in der Version 1.0.5 trägt ihn aber noch. :motz:
    In die prefs.js im Profilordner user_pref("capability.policy.default.Window.prompt", "noAccess"); eintragen und die Dialogbox wird nicht geöffnet.
     
  4. Pontius

    Pontius Byte

    Registriert seit:
    19. März 2005
    Beiträge:
    49
    7642 ist das aktuelle build.
     
  5. CarpeDiem

    CarpeDiem Kbyte

    Registriert seit:
    15. Februar 2005
    Beiträge:
    181
    Kaffeebohnenschnitzer und Analphabeten, nein Danke.
     
  6. Mylin

    Mylin Viertel Gigabyte

    Registriert seit:
    20. Juni 2003
    Beiträge:
    2.757
    Korrektur zu Beitrag Nr 3 :

    Der von mir vorgeschlagene Eintrag in die prefs.js wirkt sich auf alle Dialogboxen aus. Dadurch funktionieren Dialogboxen, wie z.B. hier im Forum für das Einfügen eines Links, nicht. Abhilfe schafft eine Erlaubnis für bestimmte Seiten eine Dialogbox zu öffnen.
    Zusätzlich zu dem Eintrag müssen folgende Einträge gemacht werden:

    user_pref("capability.policy.policynames", "prompt");
    user_pref("capability.policy.prompt.sites", "http://www.pcwelt.de");
    user_pref("capability.policy.prompt.Window.prompt", "allAccess");

    Es können mehrere Seiten angegeben werden, denen das Öffnen erlaubt wird.
     
  7. Mylin

    Mylin Viertel Gigabyte

    Registriert seit:
    20. Juni 2003
    Beiträge:
    2.757
    Die Lücke besteht weiterhin in der Version 1.0.6 :(
     
  8. pcinfarkt

    pcinfarkt Viertel Gigabyte

    Registriert seit:
    19. August 2004
    Beiträge:
    4.096
    Bin mir da nicht so sicher. Richtig ist, dass ich ebenfalls eine andere Vorstellung von diesem Bugfix habe. Aber schau mal auf die Zeile in dem Popup. Da steht in Abweichung zum 1.0.4. der eindeutige Absender - google.com.secunia.com -!

    Jedoch wird für diese Sicherheitslücke die Aussage gemacht, dass eine Verletzbarkeit vorliegt, wenn in dem Javascriptdialogfeld vor der Google -Website keine Displayinformation über seinen Ursprung erscheint.

    Quelle: http://secunia.com/multiple_browsers_dialog_origin_vulnerability_test/
    und Originalzitat:
    [img=http://img263.imageshack.us/img263/390/seckt1067ee.th.jpg]
     
Status des Themas:
Es sind keine weiteren Antworten möglich.

Diese Seite empfehlen