Thema: Firefox ...

[SiLæncer]

Nur ein von zwei experimentellen Addons ist tatsächlich von Trojaner befallen

Das Sothink-Addon Version 4 ist ab sofort wieder von der Mozilla-Webseite zum Download verfügbar. Zuvor hatte ein Fehlalarm eines Virenscanners fälschlicherweise darin einen Trojaner aufgespürt.

In einem Blogeintrag von Ende letzter Woche erklärten Mozilla-Entwickler, sie hätten in zwei als experimentell eingestuften Addons Trojaner entdeckt und sie von der Webseite entfernt. In dem Addon Sothink Video Downloader Version 4 befand sich jedoch keine Schadsoftware, wie das Sicherheits-Team um addons.mozilla.org (AMO) nun in seinem Blog vermerkt. Allerdings war das andere monierte Addon tatsächlich mit dem Trojaner Win32.Bifrose.32.Bifrose infiziert.

Zusammen mit Mitarbeitern der Firma McAfee hatten AMO-Mitarbeiter die Trojaner-Meldung im Sothink-Addon als False Postitiv entlarvt. Daraufhin stellten sie das fragliche Addon wieder auf ihrer Webseite zum Download zur Verfügung. In dem Blog entschuldigt sich das AMO-Team bei den Entwicklern des Addons und den Benutzern für das Malheur und korrigiert die Anzahl der betroffen Benutzer von 6.000 herunter auf 700.

Quelle : www.golem.de

[SiLæncer]

Die Entwickler der Mozilla Foundation haben ein Update für den Browser Firefox veröffentlicht. Mit den Versionen 3.0.18 sowie 3.5.8 werden Stabilitätsprobleme beseitigt und Sicherheitslücken geschlossen.

Insgesamt fünf sicherheitsrelevante Probleme werden in den Release Notes (3.0.18, 3.5. angegeben. Drei Lücken werden von Mozilla als kritisch eingestuft, da sie genutzt werden könnten, um schadhaften Code auszuführen. Die anderen beiden Lücken werden als "moderate" eingestuft und ermöglichen Cross-Site-Scripting.

Neben den Sicherheitslücken wurden in den beiden Versionen auch Stabilitätsupdates integriert. Eine komplette Liste der behobenen Bugs findet man hier. Größtenteils handelt es sich um Fehler, die bereits mit der aktuellen Version Firefox 3.6 beseitigt wurden. Aus diesem Grund liegt für diese Ausgabe auch kein Update vor.

Die neuen Versionen können wie immer direkt heruntergeladen werden. Alternativ steht der Patch über die integrierte Update-Funktion zur Verfügung, die innerhalb von 48 Stunden anspringen sollte. Die Suche lässt sich aber auch manuell auslösen.

Quelle : http://winfuture.de

[SiLæncer]

Der russische Sicherheitsdienstleister Intevydis hat seinen Kunden einen Windows-Exploit für eine bislang unbekannte Sicherheitslücke in Firefox 3.6 zur Verfügung gestellt. Der Exploit erlaubt Angreifern aus der Ferne, die Kontrolle über einen PC zu bekommen. Intevydis ist der Hersteller des kommerziellen Add-ons VulnDisco für das ebenfalls kommerzielle Exploit-Toolkit Canvas des Herstellers Immunity. Der Entwickler Evgeny Legerov preist seinen Exploit für Windows XP (SP3) und Vista im Partner-Forum von Immunity als ziemlich zuverlässig an. Es sei eine Herausforderung gewesen, den Fehler – ein Buffer Overflow – zu finden und auszunutzen.

Das Posting stammt zwar von Anfang Februar, da es aber bislang keine Updates für Firefox 3.6 gab, dürfte die Lücke noch offen sein. Secunia stuft das Problem in seinen Advisories als kritisch ein, hält aber keine weiteren Informationen bereit. Mittlerweile ist die Mozilla Foundation auf das Problem aufmerksam geworden, hat aber noch keine offizielle Stellungnahme dazu veröffentlicht. Ob der Exploit bereits weitere Verbreitung gefunden hat oder im größeren Stil ausgenutzt wird, ist nicht bekannt. Allerdings gibt es nach Analysen des Blogs Extraexploit eine signifikante Häufung von Abstürzen des Firefox 3.6 am 12. und 13. Februar. Unklar ist, ob dies in Zusammenhang mit Tests des Exploit steht. Welche Seiten die häufigsten Abstürze verursachen, ist in den Mozilla Crash Reports zu sehen.

Ganz nebenbei weist Legerov auch noch auf Zero-Day-Exploits für Lotus Notes 8.5/8.5fp1 sowie für den RealPlayer 11 hin. Der Exploit für den RealPlayer ist  eine überarbeitete Fassung eines zwei Jahre alten Exploits, der eine erst vor kurzem geschlossene Lücke im RealPlayer ausnutzt.

Quelle : www.heise.de

[SiLæncer]

An der Existenz der gemeldeten Sicherheitslücke in Firefox 3.6 gibt es inzwischen erste Zweifel. Ein weiterer Experte hat den veröffentlichten Exploit-Code mit Firefox 3.6 und 3.5.8 sowohl unter Windows XP SP3 als auch Windows Vista SP2 ohne Erfolg getestet.

Er geht davon aus, dass es sich um eine Falschmeldung handelt, die sogar von Sicherheitsfirmen wie Secunia ohne eigenen Test weiterverbreitet wurde. Es sei auch eine guter Werbegag für die Sicherheitssoftware Vulndisco.

Von Mozilla selbst gibt es bisher nur eine Reaktion, in die Veröffentlichung der Sicherheitslücke leicht kritisiert wird. Anscheinend wurde Mozilla überhaupt nicht kontaktiert. Eine Bestätigung der Lücke steht aber nach wie vor aus.

Quelle : www.gamestar.de

[SiLæncer]

Mozillas Browser ist gegen Angriffe anfällig. In der Version 3.6 gibt es ein Sicherheitsproblem, das es dem Angreifer erlaubt, Schadcode auszuführen. Eine Betaversion, die die Sicherheitslücke schließt, steht bereit.

Mozillas Firefox 3.6 hat offenbar ein schwerwiegendes Sicherheitsproblem, wie die Entwickler im Mozilla Security Blog bestätigen. Viele Details zu dem Sicherheitsproblem, das auch bei Secunia gelistet ist, gibt es noch nicht. Offenbar hat den Fehler Evgeny Legerov entdeckt und das Mozilla-Team mittlerweile mit genügend Informationen versorgt, damit Firefox gepatcht werden kann.

Mit dem Fehler ist es möglich, Firefox abstürzen zu lassen und anschließend Schadcode auszuführen. Der Entdecker des Bugs verkauft diesen bereits in einem Sicherheitspaket, so dass er wohl im Umlauf sein dürfte und von Legerovs Kunden zumindest ausprobiert wird.

Die Qualitätssicherung des Mozilla-Teams testet Firefox 3.6.2 bereits. Die fertige Version soll am 30. März 2010 erscheinen. Wer nicht so lange warten möchte, kann die Beta herunterladen, die den Nutzer bereits absichern soll, aber noch einige Fehler enthalten dürfte.

Quelle : www.golem.de

[SiLæncer]

Die Mozilla-Foundation hat Version 3.6.2 ihres Open-Source-Webbrowsers Firefox herausgebracht. Firefox 3.6.2 schließt laut den Entwicklern neben anderen Lecks vor allem eine schwerwiegende Lücke, die seit Februar bekannt war, zu der Details aber erst seit kurzem verfügbar sind. Die Entwickler hatten die neue Firefox-Version zwar erst für den 30. März angekündigt, sie aber nun dich schneller fertig gestellt – unter anderem, weil der Sicherheitsdienstleister Secunia die Lücke als hochkritisch eingestuft hat.

Die Lücke erlaubte Angreifern aus der Ferne, die Kontrolle über einen PC zu bekommen. Bekannt wurde die Sicherheitslücke, als der russische Sicherheitsdienstleister Intevydis seinen Kunden einen Windows-Exploit dafür zur Verfügung stellte. Intevydis verhält sich gegenüber Herstellern, in deren Produkten sie Sicherheitslücken entdecken, wenig auskunftsfreudig, und verkauft sein Wissen. Der Entdecker Evgeny Legerov hatte mit seinem Fund zunächst angegeben ohne Details zu nennen, später aber die Mozilla-Entwickler kontaktiert.

Versionen vor Firefox 3.6 waren von dem Problem nicht betroffen. Die Lücke hatte das vom BSI betriebene Bürger-CERT aber dazu veranlasst, eine Warnung herauszugeben: Bis zum Erscheinen von Firefox 3..6.2 solle man lieber "alternative Browser" einsetzen. Diese Warnung löste aber unter Sicherheitsexperten auch Befremden aus – siehe dazu den Kommentar auf heise Security: "Sicherheit nach Behördenart".

Die Mozilla-Entwickler empfehlen, möglichst schnell auf die neue Firefox-Version umzusteigen. Firefox 3.6.2 wird über die Update-Funktion des Webbrowsers verteilt und steht zum Download in diversen Landessprachen (darunter in Deutsch) für Windows, Mac OS X und Linux bereit.

Quelle : www.heise.de

[SiLæncer]

Im Mozilla-Security-Blog beschreiben die Entwickler des Firefox-Browsers, wie sie eine uralte Datenschutzlücke stopfen wollen. Der "CSS History Hack" hatte vor kurzem Aufregung  ausgelöst, weil er das Ausspähen von Nutzern sozialer Netze ermöglicht. Erstmals wurde das Problem im Jahr 2000 in einem Bugzilla-Eintrag  beschrieben.

Es beruht darauf, dass Browser traditionell besuchte und unbesuchte Links unterschiedlich darstellen. Dadurch können Webanwendungen herausfinden, welche Seiten ein Anwender besucht hat. Das W3C hat deshalb bereits in der Spezifikation von CSS 2.1 festgelegt, dass Browser "alle Links als unbesucht darstellen oder andere Maßnahmen ergreifen können, um die Privatsphäre des Benutzers zu gewährleisten".

Für die zweite Variante wollen sich die Mozilla-Entwickler entscheiden, indem sie nur noch bestimmte Attribute für die Pseudoklasse :visited zulassen. Attribute, die entfernte Ressourcen laden (etwa background-image, wird der Browser ignorieren. Außerdem soll die Layout-Engine alle Links in derselben Geschwindigkeit positionieren, sodass Anwendungen kein unterschiedliches Zeitverhalten ausnutzen können. Schließlich wird die JavaScript-Methode getComputedStyle in Zukunft auch für besuchte Links die CSS-Attribute der unbesuchten liefern.

Die angekündigten Änderungen sollen demnächst in den Entwicklungszweig des Browsers einfließen. Am Aussehen der meisten Webseiten werde sich dadurch nichts ändern, so die Firefox-Entwickler.

Quelle : www.heise.de

[SiLæncer]

Erst vor einer Woche hatte die Mozilla-Foundation die Version 3.6.2 des Open-Source-Webbrowsers Firefox veröffentlicht und damit mehrere Sicherheitslücken geschlossen. Nun folgt mit Version 3.6.3 ein weiteres Security-Update. Laut den Release-Notes enthält Firefox 3.6.2 eine kritische Lücke, die das Ausführen von beliebigem Code ermöglichen könnte.

Versionen vor Firefox 3.6 sollen von dem Problem nicht betroffen sein. Firefox 3.6.3 steht zum regulären Download bereit und wird über die automatische Update-Funktion verteilt. 

Quelle : www.heise.de

[SiLæncer]

Nach Verwirrung um die Frage, wem das Zertifikat "RSA Security 1024 V3" gehört, hat Mozilla entschieden, es aus der Liste vertrauenswürdiger Root-Zertifikate für seine Software zu entfernen.

Ein Root-Zertifikat erlaubt es, beliebig viele Zertifikate für Webseiten auszustellen, denen ein Browser, der dem Root-Zertifikat vertraut, ebenfalls vertraut. Daher kommt Besitzern solcher Root-Zertifikate eine große Verantwortung zu. Doch bei der Überprüfung des Zertifikats "RSA Security 1024 V3" stieß Mozillas Kathleen Wilson auf Ungereimtheiten. Der Besitzer des Zertifikats ließ sich nicht ermitteln.

Nach einer kurzen öffentlichen Diskussion und weiteren Nachforschungen bestätigte RSA, das aus dem Jahre 2001 stammende Zertifikat einst ausgestellt zu haben. Es ist noch bis 2026 gültig. RSA bestätigte auch, im Besitz des privaten Schlüssels für des Zertifikat zu sein, das aber nicht länger gebraucht werde und daher entfernt werden könne.

So wird es dann auch kommen: Mozilla wird das Zertifikat aus seiner Liste der vertrauenswürdigen Root-Zertifikate entfernen. Diese von Wilson geführte Liste steht unter mozilla.org für jeden zur Einsicht bereit.

Das Root-Zertifikat "RSA Security 1024 V3" findet sich im Übrigen auch bei anderen Softwareherstellern in der Liste der vertrauenswürdigen Zertifikate.

Quelle : www.golem.de

[SiLæncer]

In der nun vorgelegten Version 3.6.4 des Web-Browsers Firefox sollen Abstürze von Adobes Flash-, Apples Quicktime- oder Microsofts Silverlight-Plug-in nicht mehr den kompletten Browser mit in den Abgrund ziehen. Vielmehr soll das Weitersurfen in anderen geöffneten Tabs möglich sein. Zudem soll sich das abgestürzte Tab durch einfaches Neuladen (Refresh) wiederbeleben lassen.

Gerade für Anwender, die mit mehreren Tabs arbeiten, dürfte die neue Funktion die Arbeit erleichtern, bringen doch gerade Flash-Applets den Mozilla-Browser immer mal wieder zum Stillstand. Wie gut das in der Praxis funktioniert, muss sich noch zeigen.

Version 3.6.4 beseitigt sieben Sicherheitslücken, von denen die Entwickler vier als kritisch einstufen. Davon sind auch Firefox 3.5.9, Thunderbird 3.0.4 sowie SeaMonkey 2.0.4 betroffen, für die nun ebenfalls jeweils korrigierte Fassungen vorliegen (Firefox 3.5.10 , Thunderbird 3.0.5 sowie SeaMonkey 2.0.5).

Update : Eine von Michal Zalweski entdeckte Möglichkeit für URL-Spoofing wurde indes noch nicht beseitigt. Zalewski hat dazu eine kurze Demo programmiert, die zeigt, wie sich beim Laden einer leeren Seite eine beliebige URL in der Adress-Leiste einblenden lässt und man anschließend den Inhalt manipulieren kann. Zalweski hat die Informationen nach eigenen Angaben schon jetzt veröffentlicht , weil er annahm, dass die Entwickler die Lücke bereits in Version 3.6.4 geschlossen hätten. Dies soll nun in der kommenden Version 3.6.6 geschehen – Version 3.6.5 wird übersprungen. Safari hat ein ähnliches Problem.

Quelle : www.heise.de

[SiLæncer]

Offenbar hat bereits Robert Hansen (aka RSnake) die Lücke vor Zalewski entdeckt und schon im Dezember 2009 auf ha.ckers.org eine ähnliche, aber praktikablere Demo und eine Beschreibung dazu veröffentlicht. RSnakes Demo verschleiert die Herkunft eines Plug-in-Downloads. Während sich die originale Firefox-Add-on-Seite im Browser öffnet, versucht gleichzeitig die Seite ha.ckers.org dem Anwender eine (harmloses) Erweiterung unterzuscheiben.

Quelle : www.heise.de

[SiLæncer]

Firefox 3.6.9 unterstützt den X-FRAME-OPTIONS-Header, mit dem Webserver dem Client verbieten können, nachgeladene Seiten in IFrames zu öffnen. Beim Clickjacking  schiebt die Webseite eines Angreifers einen durchsichtigen iFrame mit Inhalten von beispielsweise Facebook unter den Mauszeiger. Im Glauben, etwas auf der angezeigten Seite anzuklicken, klickt der Anwender jedoch auf Elemente in einem durchsichtigen, zu Facebook gehörenden iFrame.

Mitte des Jahres fielen mehrere hundertausend Facebook-Anwender einer Clickjacking-Attacke zum Opfer, als sie auf einer präparierten Seite unbewußt auf einen versteckten "Gefällt mir"-Button ("Like") geklickt hatten. Durch die neue Option könnte Facebook künftig bei Firefox-Anwendern verhindern, dass ein Angreifer Inhalte in einem IFrame laden kann. Allerdings unterstützen bereits der Internet Explorer 8 und Chrome die Option – und trotzdem nutzt Facebook die Option (noch) nicht.

Firefox 3.6.9 schließt zudem mehr als 14 Sicherheitslücken, wovon die Entwickler mindestend 10 als kritisch einstufen. Dazu gehört neben Integer und Heap Overflows sowie verwaisten Zeigern auch die Schwachstelle beim Nachladen von DLLs über das Netz für die Windows-Version von Firefox. Daneben sind auch Firefox 3.5.12, Thunderbird 3.1.3, Thunderbird 3.0.7 und SeaMonkey 2.0.7 erschienen, in denen dieselben Lücken geschlossen wurden.

Quelle : www.heise.de

[SiLæncer]

Die Firefox-Entwickler haben die Versionen 3.6.10 und 3.5.13 vorgelegt, mit der die bei den Vorgangerversionen auftretenden Abstürze beim Start behoben sind. Die Korrektur umfasst nur eine erweiterte if-Abfrage in Zusammenhang mit der Ausführung von Skripten.

Die Entwickler weisen darauf hin, dass der Fehler die übliche Crash-Rate beim Firefox nicht wesentlich erhöht habe. Da der Absturz aber bei betroffenen Anwendern immer beim Start aufgetreten sei und somit die Benutzung des Browsers unmöglich gemacht habe, sei dem Problem besondere Bedeutung beigemessen worden.

Die Mozilla Foundation hatte deshalb die Verteilung der Versionen 3.6.9 und 3.5.12 über das automatische Update ausgesetzt. Stattdessen werden nunmehr die aktuellen Versionen verteilt. In Version 3.6.10 wurde zusätzlich ein Problem in Zusammenhang mit dem Skin-Manager Personas Plus gelöst.

Quelle : www.heise.de

[SiLæncer]

Statt alle Tastatureingaben mitzulesen, soll sich ein kürzlich von Webroot analysierter  Schädling darauf verlassen, dass Kennwörter für Webseiten im Passwortspeicher des Browsers liegen. Damit er dort auch alle interessanten Passwörter vorfindet, hilft der Trojan-PWS-Nslog getaufte Schädling bei Firefox ein bisschen nach: Durch wenige Manipulationen in einer zu Firefox gehörenden Java-Script-Datei bringt er den Browser dazu, Login-Daten automatisch und ohne Nachfrage beim Anwender zu speichern.

Dazu kommentiert der Schädling unter anderem die Nachfrage von Firefox in der Datei nsLoginManagerPrompter.js einfach aus und fügt eine Zeile zum automatischen Speichern hinzu. heise Security konnte die Wirksamkeit der Manipulationen nachvollziehen – die der Malware-Autor vermutlich einem bereits seit 2009 bekannten Workaround entlehnt hat.

Normalerweise fragt Firefox beim Anwender nach, ob er die Daten speichern soll; viele Anwender verneinen aus Sicherheitsgründen die Nachfrage, weil Schädlinge im Passwortspeicher zuerst nachschauen und die ausgelesenen Daten verschicken. Auch PWS-Nslog versucht, die Daten minütlich aus den Speichern des Internet Explorer und Firefox auszulesen und an einen Server zu verschicken.

Nach Analysen von Webroot hat sich der Autor der Malware keine Mühe gegeben, seine Spuren zu verwischen. Im Schädling finden sich ein Name nebst GMail-Adresse. Darüber stieß Webroot schnell auf die Facebook-Seite des vorgeblich iranischen Entwicklers, der nach eigenen Angaben aus Spaß Crimeware programmiert.

Quelle : www.heise.de

[SiLæncer]

Die Manipulation funktioniert prinzipiell auf allen Plattformen, auf denen der Trojaner die Rechte zur Änderung der Datei nsLoginManagerPrompter.js hat. Im Test funktionierte dies sowohl unter Windows XP, Windows 7 und Ubuntu 10.04. Unter Windows 7 und Ubuntu arbeitet der Anwender jedoch standardmäßig mit eingeschränkten Rechten, sodass ein Schädling dort ohne weitere Tricks die Datei nicht manipulieren kann.

Quelle : www.heise.de