Spoofing-Lücke: Alle großen Browser sind betroffen

Dieses Thema im Forum "Ihre Meinung zu Artikeln auf pcwelt.de" wurde erstellt von vobac, 22. Juni 2005.

Status des Themas:
Es sind keine weiteren Antworten möglich.
  1. vobac

    vobac ROM

    Super, Microsoft hat schon ein Bulletin geschrieben - Opera hat eine neue Browser-Version 8.01, die den Urheber des Pop-Ups anzeigt - scheint mir die bessere Variante....
     
  2. CarpeDiem

    CarpeDiem Kbyte

    Kaffeebohnenschnitzer und Analphabeten, nein Danke.
     
  3. Mylin

    Mylin Viertel Gigabyte

    Alter Hut. Firefox in der Version 1.0.5 trägt ihn aber noch. :motz:
    In die prefs.js im Profilordner user_pref("capability.policy.default.Window.prompt", "noAccess"); eintragen und die Dialogbox wird nicht geöffnet.
     
  4. Pontius

    Pontius Byte

    7642 ist das aktuelle build.
     
  5. CarpeDiem

    CarpeDiem Kbyte

    Kaffeebohnenschnitzer und Analphabeten, nein Danke.
     
  6. Mylin

    Mylin Viertel Gigabyte

    Korrektur zu Beitrag Nr 3 :

    Der von mir vorgeschlagene Eintrag in die prefs.js wirkt sich auf alle Dialogboxen aus. Dadurch funktionieren Dialogboxen, wie z.B. hier im Forum für das Einfügen eines Links, nicht. Abhilfe schafft eine Erlaubnis für bestimmte Seiten eine Dialogbox zu öffnen.
    Zusätzlich zu dem Eintrag müssen folgende Einträge gemacht werden:

    user_pref("capability.policy.policynames", "prompt");
    user_pref("capability.policy.prompt.sites", "http://www.pcwelt.de");
    user_pref("capability.policy.prompt.Window.prompt", "allAccess");

    Es können mehrere Seiten angegeben werden, denen das Öffnen erlaubt wird.
     
  7. Mylin

    Mylin Viertel Gigabyte

    Die Lücke besteht weiterhin in der Version 1.0.6 :(
     
  8. pcinfarkt

    pcinfarkt Viertel Gigabyte

    Bin mir da nicht so sicher. Richtig ist, dass ich ebenfalls eine andere Vorstellung von diesem Bugfix habe. Aber schau mal auf die Zeile in dem Popup. Da steht in Abweichung zum 1.0.4. der eindeutige Absender - google.com.secunia.com -!

    Jedoch wird für diese Sicherheitslücke die Aussage gemacht, dass eine Verletzbarkeit vorliegt, wenn in dem Javascriptdialogfeld vor der Google -Website keine Displayinformation über seinen Ursprung erscheint.

    Quelle: http://secunia.com/multiple_browsers_dialog_origin_vulnerability_test/
    und Originalzitat:
    [img=http://img263.imageshack.us/img263/390/seckt1067ee.th.jpg]
     
Status des Themas:
Es sind keine weiteren Antworten möglich.

Diese Seite empfehlen