News Kritische Lücke im Firefox 3.5
- Ersteller pipin
- Erstellt am
- Mitglied seit
- 16.10.2000
- Beiträge
- 24.373
- Renomée
- 9.706
- Standort
- East Fishkill, Minga, Xanten
Mozillas Firefox 3.5 ist seit etwas mehr als zwei Wochen erhältlich und ist nun bereits durch eine kritische JavaScript-Lücke betroffen. Der Just-in-time (JIT) JavaScript Compiler kann zum Ausführen von Schadcode beim Betrachten von infizierten Webseiten ausgenutzt werden.
Bis ein Bugfix verfügbar ist kann man zur Sicherheit den JIT abschalten, was eine etwas langsamere Verarbeitung von JavaScript zur Folge haben wird.
<center><a href="http://www.planet3dnow.de/photoplog/index.php?n=6839"><img src="http://www.planet3dnow.de/photoplog/file.php?n=6839" border="1" alt="Mozillas Firefox 3.5 JIT-JavaScript-Compiler"></a></center>
Dazu muss man folgende Schritte ausführen:
<blockquote>1. In die Adresszeile about:config eingeben
2. Beim Filter jit eingeben
3. Durch Doppelklick auf javascript.options.jit.content den Wert auf "false" setzen</blockquote>
<b>Quelle:</b> <a href="http://blog.mozilla.com/security/2009/07/14/critical-javascript-vulnerability-in-firefox-35/" target="b">Critical JavaScript vulnerability in Firefox 3.5</a>
Bis ein Bugfix verfügbar ist kann man zur Sicherheit den JIT abschalten, was eine etwas langsamere Verarbeitung von JavaScript zur Folge haben wird.
<center><a href="http://www.planet3dnow.de/photoplog/index.php?n=6839"><img src="http://www.planet3dnow.de/photoplog/file.php?n=6839" border="1" alt="Mozillas Firefox 3.5 JIT-JavaScript-Compiler"></a></center>
Dazu muss man folgende Schritte ausführen:
<blockquote>1. In die Adresszeile about:config eingeben
2. Beim Filter jit eingeben
3. Durch Doppelklick auf javascript.options.jit.content den Wert auf "false" setzen</blockquote>
<b>Quelle:</b> <a href="http://blog.mozilla.com/security/2009/07/14/critical-javascript-vulnerability-in-firefox-35/" target="b">Critical JavaScript vulnerability in Firefox 3.5</a>
Dr@
Grand Admiral Special
oder man benutzt einfach NoScript
- Mitglied seit
- 11.11.2001
- Beiträge
- 9.611
- Renomée
- 427
- Standort
- Bayern, am Rande des Wahnsinns
Was aber dann nicht schützt, wenn eine Seite der man eigentlich bzw irrtümlich vertraut die Lücke ausnutzt, Dr@...
Dr@
Grand Admiral Special
das ist mir durchaus bewusst, ist für mich aber die bequemere Lösung. Außerdem kann ich mich so vor noch unbekannten JavaSkript Lücken schützen.
Natürlich kann auch t-online.de, tagesschau.de usw. gehackt werden umso irgendwelche Codes einzuschmuggeln aber man kann sich ja nicht vor allem schützen. In irgendeinem Thread hier gings auch mal um Sicherheit und Firewalls, da wurde empfohlen, am besten nur mit virtualisiertem System ins Internet zu gehen, weil alles andere eh nix bringt. Das geht mir dann aber auch zu weit!
Wer erinnert mich denn daran den Compiler wieder anzuschalten?![:]](https://www.planet3dnow.de/vbulletin/images/smilies/rolleyes.gif "Augen rollen (sarkastisch) :]")
Natürlich kann auch t-online.de, tagesschau.de usw. gehackt werden umso irgendwelche Codes einzuschmuggeln aber man kann sich ja nicht vor allem schützen. In irgendeinem Thread hier gings auch mal um Sicherheit und Firewalls, da wurde empfohlen, am besten nur mit virtualisiertem System ins Internet zu gehen, weil alles andere eh nix bringt. Das geht mir dann aber auch zu weit!
Wer erinnert mich denn daran den Compiler wieder anzuschalten?
Zuletzt bearbeitet:
Setsuna
Admiral Special
Mozilla.org hat schon reagiert.
Release Canditate 3.5.1 (nightly) frei zum Download (noch unsigned ,DE ist da))
Release Canditate 3.5.1 (nightly) frei zum Download (noch unsigned ,DE ist da))
Zuletzt bearbeitet:
CrazyStrump
Vice Admiral Special
In den normalen Einstellungen findet man nichts oder es ist aufs minimalste eingeschränkt. Wenn man wirklich was wichtiges machen will muss man zu about:config, was auch nicht viel übersichtlicher ist als die windows-registry.
.
EDIT :
.
Das leben ist nun mal voller Risikos. Schon wegen dem ganzen Ajax-Müll, und denen die davon keine Ahnung haben und die fettesten Bibliotheken einbinden statt sich mal eben 3 JS-Funktionen selbst zu schreiben. Es ist einfach notwendig, wenn man im gewisse Webdienste nutzen will/muss.
Ähnliche Themen
