News Javascript legt Browser lahm

Michael

Re-aktions-Pinguin
Dabei seit
Okt. 2002
Beiträge
3.210
#1
Ein als Proof-Of-Concept vorgelegtes Javascript lässt derzeit viele sicherheitsbewusste Surfer aufhorchen. Mit einem simplen Trick werden so diverse aktuelle Internet-Browser aus dem Tritt gebracht, wenn nicht sogar komplett unbrauchbar gemacht.

Zur News: Javascript legt Browser lahm
 

panni

Cadet 4th Year
Dabei seit
Aug. 2005
Beiträge
114
#2
Da hat wohl mal wieder jemand seine Fehlerüberprüfung von Variablen- bzw. Buffergrößen nicht richtig durchgeführt, wa? :D
 
Dabei seit
Sep. 2005
Beiträge
6
#6
Firefox unter Linux ist betroffen.
Wer Firefox wieder zum laufen bekommen will, muss im home/firefox die history.dat und formhistory.dat löschen.

007
 
Dabei seit
Juli 2001
Beiträge
21.423
#7
Also Firefox 1.5 unter Windows ist auch irgendwie betroffen. Beim starten des Skripts wird Fx etwas langsam. Beim Neustart dauert es schon eine gewisse Zeit, dann hat er das Ding eingelesen, währenddessen kann man aber nichts machen, der PC ist ausgelastet. Die angeblichen Abstürze kann ich nicht bestätigen. Allerdings wird das natürlich jedesmal geschehen wenn man den Titel nicht aus der History löscht. Also nicht ganz ohne. Und wenn man mehrere davon hat, dauert es möglicherweise sehr lange oder es kommt doch zum Absturz.

Aber ist es überhaupt eine "Sicherheitslücke"? Solange damit kein beliebiger Code ausgeführt werden kann, wie in der News erwähnt, ist es zwar ärgerlich, aber keine echte Gefährdung. Mal schauen was die weiteren Nachforschungen ergeben.

Ich sehe schon die Themen vor mir: "Hilfe, Computer hängt beim starten von Firefox!!" ;)
 
Zuletzt bearbeitet:
Dabei seit
Sep. 2005
Beiträge
2.626
#8
Moin

Das Script is ja mal scheisse....da mag ich lieber das Bild was ein Pc der mit IE auf die Seite geht mit nem BS abschmieren lässt :)

MFG

{-=TeWeS=-}
 
Dabei seit
Juli 2001
Beiträge
21.423
#9
Workaround für Firefox ohne Javascript zu deaktivieren: Diese Zeile
Code:
user_pref("capability.policy.default.HTMLDocument.title.set","noAccess");
in die prefs.js im Profil-Ordner einfügen.

Edit: Jetzt mit ";". Damit sollte es gehen. Ich hatte es falsch kopiert ;)
 
Zuletzt bearbeitet:
Dabei seit
Juni 2004
Beiträge
12.654
#11
Zitat von HappyMutant:
...
Aber ist es überhaupt eine "Sicherheitslücke"? Solange damit kein beliebiger Code ausgeführt werden kann, wie in der News erwähnt, ist es zwar ärgerlich, aber keine echte Gefährdung. ...
siehe:
Zitat von News:
Möglicherweise kann auf diese Art auch Schadcode übergeben werden, das ist derzeit jedoch nicht bestätigt.
Aktive Inhalte
JavaScript
 
Dabei seit
Juli 2001
Beiträge
21.423
#12
Komisch, bei mir funktionert es. Bei beendetem Firefox sollte er es eigentlich übernehmen. Zumindest hat er es bei mir angenommen, beim nächsten Start des Firefox übernahm er den Titel nicht mehr. Und er hat es sogar dann richtig eingeordnet in der Datei selber. Ich am Ende der Zeile allerdings noch ein ";" hingemacht, einfach damit es gleich formatiert ist wie die anderen. Probiers vielleicht mal damit.

Edit: Ja und, Mountwalker? Ich hab genau das geschrieben. News sagt: Möglicherweise. Ich sage: Ist es dann überhaupt (schon) eine solange dies nicht gegeben ist? Klar potentiell könnte es eine sein. Aber das habe ich auch nicht bestritten. Und ich habe gesagt abwarten. Das es ein (massives) Problem ist bestreite ich ja auch gar nicht. Nur auspionieren kann mich derzeit noch keiner.
 
Zuletzt bearbeitet:

Michael

Re-aktions-Pinguin
Ersteller dieses Themas
Dabei seit
Okt. 2002
Beiträge
3.210
#14
Zitat von HappyMutant:
Ich am Ende der Zeile allerdings noch ein ";" hingemacht, einfach damit es gleich ormatiert ist wie die anderen. Probiers vielleicht mal damit.
Das zusammen mit einem einmaligen Löschen der Datei "history.dat" bringt die Lösung sowohl für meinen Firefox 1.07 unter W2K wie unter Linux (Kubuntu, 1.07/Gecko 20051010) :) :daumen:

Ich bitte hiermit alle Firefox/Mozilla/Netscape-User ihre Programme daraufhin zu Testen, ob der o.g. Tipp auch bei Ihrem Browser den gewünschten Erfolg bringt.
 
Zuletzt bearbeitet:
Dabei seit
Juni 2001
Beiträge
3.992
#15
Zitat von wazzup:
hehe 1:0 Für den IE :D Scheint wohl so als würden endlich FF & co. immer mehr ins visier der schädlingsverbreiter geraten...
wohl eher 2:18 für Firefox ;)
das haben aber keine schädlingsverbreiter gefunden sondern die die nach lücken suchen um sie zu melden. Der Entdecker dürfte damit 500$ reicher sein.

@Michael
Auch wenn ich nicht zu den erwähnten Firefox/Mozilla/Netscape-Usern gehöre:
Der Konqueror scheint anfällig - gibt zwar keinen absturz oder dergl, aber ne zeitlang extrem langsam..
 
Zuletzt bearbeitet:
Dabei seit
Juli 2001
Beiträge
21.423
#16
@wazzup: Nun schau dir mal die News genau an: Es sind mehrere Browser betroffen. Es ist ein Proof-of-Concept. Dieser Code trat so nicht wirklich in der freien Wildbahn auf. Und ob er wirklich Sicherheits gefährdent ist, das muß noch getestet werden. Im Gegensatz zu einer immernoch ungepatchten Lücke im IE, zu der es sehr wohl schon gesichtete Angreifer gibt. Siehe http://www.heise.de/security/news/meldung/66952

Also bitte, bitte nicht flamen. Browserkriege führen zu nichts ;)
 
Dabei seit
Okt. 2005
Beiträge
245
#17
ich würde eher sagen, nur ein kleiner Bug den der Internet Explorer ausnahmsweise mal nicht hat. Was aber nicht die vielen anderen Bugs vergessen macht, die er hat, immer noch ungepatcht. Ich denke mal, Anfang nächster Woche gibt es einen Firefox Patch und dieses Skript funktioniert nicht mehr.
 

Michael

Re-aktions-Pinguin
Ersteller dieses Themas
Dabei seit
Okt. 2002
Beiträge
3.210
#18
Eins zeigt dies alles hier doch sehr deutlich: Man kann als Programmierer gar nicht so quer denken, wie es manche Leute tun. Mal ehrlich: Man kann nicht an alles denken, weder ein OpenSource-Programmierer, noch ein Angestellter eines Redmonder Konzerns.

Aber in diesem Thread wurde innerhalb von Minuten klar, dass durch Gemeinsamkeit einer Community eine schnelle Lösung gefunden werden kann. Ob dies in einem Großkonzern auch so schnell und flexibel geht, wage ich mal als unbewiesen dahinzustellen.

Der Geist von OpenSource lebt auch in unserer Community - und sei es nur, dass man gemeinsam für Einzelne oder alle zusammen versucht, Lösungen zu finden :)

Edit: Hoffentlich werde ich jetzt nicht klein und grün, und fange zu sprechen in falschen Wortreihenfolge ich an...
 
Zuletzt bearbeitet:

Thargor

Lt. Junior Grade
Dabei seit
Okt. 2004
Beiträge
294
#19
Bei mir (FF Alpha2/Latest trunk :cool:) besteht dieser bug irgendwie nicht.
Der tab-titel füllt sich zwar mit AAA.. aber ansonsten tut sich nix (nagut, 2 Sekunden freeze^^)
 
Dabei seit
Juli 2001
Beiträge
21.423
#20
Das ist auch beim Firefox 1.5 so, entscheidend ist hier der Neustart des Browsers, der dauert sehr lange.
 
Top