News Javascript legt Browser lahm

Da hat wohl mal wieder jemand seine Fehlerüberprüfung von Variablen- bzw. Buffergrößen nicht richtig durchgeführt, wa? :D
 
Sicherheitslücken von denen man nicht weiss, dass es sie gibt, sind wohl nicht so schnell zu lokalisieren.
:)
 
Firefox unter Linux ist betroffen.
Wer Firefox wieder zum laufen bekommen will, muss im home/firefox die history.dat und formhistory.dat löschen.

007
 
Also Firefox 1.5 unter Windows ist auch irgendwie betroffen. Beim starten des Skripts wird Fx etwas langsam. Beim Neustart dauert es schon eine gewisse Zeit, dann hat er das Ding eingelesen, währenddessen kann man aber nichts machen, der PC ist ausgelastet. Die angeblichen Abstürze kann ich nicht bestätigen. Allerdings wird das natürlich jedesmal geschehen wenn man den Titel nicht aus der History löscht. Also nicht ganz ohne. Und wenn man mehrere davon hat, dauert es möglicherweise sehr lange oder es kommt doch zum Absturz.

Aber ist es überhaupt eine "Sicherheitslücke"? Solange damit kein beliebiger Code ausgeführt werden kann, wie in der News erwähnt, ist es zwar ärgerlich, aber keine echte Gefährdung. Mal schauen was die weiteren Nachforschungen ergeben.

Ich sehe schon die Themen vor mir: "Hilfe, Computer hängt beim starten von Firefox!!" ;)
 
Zuletzt bearbeitet:
Moin

Das Script is ja mal scheisse....da mag ich lieber das Bild was ein Pc der mit IE auf die Seite geht mit nem BS abschmieren lässt :)

MFG

{-=TeWeS=-}
 
Workaround für Firefox ohne Javascript zu deaktivieren: Diese Zeile
Code:
user_pref("capability.policy.default.HTMLDocument.title.set","noAccess");
in die prefs.js im Profil-Ordner einfügen.

Edit: Jetzt mit ";". Damit sollte es gehen. Ich hatte es falsch kopiert ;)
 
Zuletzt bearbeitet:
HappyMutant schrieb:
...
Aber ist es überhaupt eine "Sicherheitslücke"? Solange damit kein beliebiger Code ausgeführt werden kann, wie in der News erwähnt, ist es zwar ärgerlich, aber keine echte Gefährdung. ...
siehe:
News schrieb:
Möglicherweise kann auf diese Art auch Schadcode übergeben werden, das ist derzeit jedoch nicht bestätigt.

Aktive Inhalte
JavaScript
 
Komisch, bei mir funktionert es. Bei beendetem Firefox sollte er es eigentlich übernehmen. Zumindest hat er es bei mir angenommen, beim nächsten Start des Firefox übernahm er den Titel nicht mehr. Und er hat es sogar dann richtig eingeordnet in der Datei selber. Ich am Ende der Zeile allerdings noch ein ";" hingemacht, einfach damit es gleich formatiert ist wie die anderen. Probiers vielleicht mal damit.

Edit: Ja und, Mountwalker? Ich hab genau das geschrieben. News sagt: Möglicherweise. Ich sage: Ist es dann überhaupt (schon) eine solange dies nicht gegeben ist? Klar potentiell könnte es eine sein. Aber das habe ich auch nicht bestritten. Und ich habe gesagt abwarten. Das es ein (massives) Problem ist bestreite ich ja auch gar nicht. Nur auspionieren kann mich derzeit noch keiner.
 
Zuletzt bearbeitet:
hehe 1:0 Für den IE :D

Scheint wohl so als würden endlich FF & co. immer mehr ins visier der schädlingsverbreiter geraten...
 
HappyMutant schrieb:
Ich am Ende der Zeile allerdings noch ein ";" hingemacht, einfach damit es gleich ormatiert ist wie die anderen. Probiers vielleicht mal damit.
Das zusammen mit einem einmaligen Löschen der Datei "history.dat" bringt die Lösung sowohl für meinen Firefox 1.07 unter W2K wie unter Linux (Kubuntu, 1.07/Gecko 20051010) :) :daumen:

Ich bitte hiermit alle Firefox/Mozilla/Netscape-User ihre Programme daraufhin zu Testen, ob der o.g. Tipp auch bei Ihrem Browser den gewünschten Erfolg bringt.
 
Zuletzt bearbeitet:
wazzup schrieb:
hehe 1:0 Für den IE :D Scheint wohl so als würden endlich FF & co. immer mehr ins visier der schädlingsverbreiter geraten...
wohl eher 2:18 für Firefox ;)
das haben aber keine schädlingsverbreiter gefunden sondern die die nach lücken suchen um sie zu melden. Der Entdecker dürfte damit 500$ reicher sein.

@Michael
Auch wenn ich nicht zu den erwähnten Firefox/Mozilla/Netscape-Usern gehöre:
Der Konqueror scheint anfällig - gibt zwar keinen absturz oder dergl, aber ne zeitlang extrem langsam..
 
Zuletzt bearbeitet:
@wazzup: Nun schau dir mal die News genau an: Es sind mehrere Browser betroffen. Es ist ein Proof-of-Concept. Dieser Code trat so nicht wirklich in der freien Wildbahn auf. Und ob er wirklich Sicherheits gefährdent ist, das muß noch getestet werden. Im Gegensatz zu einer immernoch ungepatchten Lücke im IE, zu der es sehr wohl schon gesichtete Angreifer gibt. Siehe http://www.heise.de/security/news/meldung/66952

Also bitte, bitte nicht flamen. Browserkriege führen zu nichts ;)
 
ich würde eher sagen, nur ein kleiner Bug den der Internet Explorer ausnahmsweise mal nicht hat. Was aber nicht die vielen anderen Bugs vergessen macht, die er hat, immer noch ungepatcht. Ich denke mal, Anfang nächster Woche gibt es einen Firefox Patch und dieses Skript funktioniert nicht mehr.
 
Eins zeigt dies alles hier doch sehr deutlich: Man kann als Programmierer gar nicht so quer denken, wie es manche Leute tun. Mal ehrlich: Man kann nicht an alles denken, weder ein OpenSource-Programmierer, noch ein Angestellter eines Redmonder Konzerns.

Aber in diesem Thread wurde innerhalb von Minuten klar, dass durch Gemeinsamkeit einer Community eine schnelle Lösung gefunden werden kann. Ob dies in einem Großkonzern auch so schnell und flexibel geht, wage ich mal als unbewiesen dahinzustellen.

Der Geist von OpenSource lebt auch in unserer Community - und sei es nur, dass man gemeinsam für Einzelne oder alle zusammen versucht, Lösungen zu finden :)

Edit: Hoffentlich werde ich jetzt nicht klein und grün, und fange zu sprechen in falschen Wortreihenfolge ich an...
 
Zuletzt bearbeitet:
Bei mir (FF Alpha2/Latest trunk :cool_alt:) besteht dieser bug irgendwie nicht.
Der tab-titel füllt sich zwar mit AAA.. aber ansonsten tut sich nix (nagut, 2 Sekunden freeze^^)
 
Das ist auch beim Firefox 1.5 so, entscheidend ist hier der Neustart des Browsers, der dauert sehr lange.
 
Zurück
Oben