# Mozilla + Firefox geben Inhalte des Speichers preis (solved)

## benjamin200

Wie der Name schon sagt. Weil einige von uns Mozilla o. Firefox einsetzen, wollte ich die Info hier mal posten.

Zitat heise Online:

 *Quote:*   

> 
> 
> Mozilla und Firefox geben Inhalte des Speichers preis
> 
> Ein Fehler in der JavaScript-Implementierung der Websuite Mozilla und des Standalone-Webbrowsers Firefox offenbart Angreifern Teilinhalte des Hauptspeichers. Unter Umständen sind darin vertrauliche Daten aus vorhergegangenen oder noch aktiven Browser-Sessions enthalten. Die Schwachstelle findet sich in der Replace()-Funktion. Bei Lambda-Expressions als zweitem Argument, also der Angabe einer Funktion statt eines Parameters, liefert die JavaScript-Engine noch Teile des Speichers hinter dem resultierenden String mit.  
> ...

 

weiteres kann man unter ...

http://www.heise.de/newsticker/meldung/58228

... nachlesen. Der Fehler ist in der Entwicklerversion behoben.

Gruß

Benjamin

mod edit: [OT] entfernt, schliesslich ist Mozilla auch unter Gentoo betroffen.

amne

----------

## Voltago

Kompiliere grade den Fox mit dem Patch aus dem Mozilla Bugzilla (das ist der am bescheurtsten klingende Satz, den ich jemals geschrieben habe). Wenn alles glatt läuft und der Test bei Secunia keine Anfälligkeit mehr zeigt, lege ich einen Bug (bei Gentoo) an.

----------

## Voltago

Gentoo Bug: 

https://bugs.gentoo.org/show_bug.cgi?id=88039

Mozilla Bug:

https://bugzilla.mozilla.org/show_bug.cgi?id=288688

Secunia Demo:

http://secunia.com/mozilla_products_arbitrary_memory_exposure_test/

----------

## benjamin200

 *Quote:*   

> 
> 
> Gentoo Bug:
> 
> https://bugs.gentoo.org/show_bug.cgi?id=88039
> ...

 

Gute Arbeit Voltago  :Smile: 

Gruß,

Benjamin

----------

## Duncan Mac Leod

 *Quote:*   

> 
> 
> Gentoo Bug:
> 
> https://bugs.gentoo.org/show_bug.cgi?id=88039
> ...

 

Warum kommt der Fix nicht in den Portage Tree bzw. dauert das so lange ??

----------

## ChrisJumper

Hallo,

also kann sein das ich mich geirrt hab.. ABER .. ich hab kurz vorher Mozilla Firefox installiert.. und ich am 6.4. gabs schon ein Update.. dafür... von daher dachte ich das wäre schon längst erledigt.. Oder liege ich da falsch?

Pps: Ich will kein Extra Thread aufmachen.. dafür.. aber kann ich "KDE-Programme" wie Kopete.. unter "Gnome" einfach so öffnen? Oder sind die so sehr an KDE gebunden das es zu komplikationen kommen könnte?!

Ich hab grad beides drauf.. weil KDE so langsam war und sich immer aufhing ;)

Schickt mir zum antworten einfach ne nachricht ;)

----------

## b3cks

 *ChrisJumper wrote:*   

> Hallo,
> 
> also kann sein das ich mich geirrt hab.. ABER .. ich hab kurz vorher Mozilla Firefox installiert.. und ich am 6.4. gabs schon ein Update.. dafür... von daher dachte ich das wäre schon längst erledigt.. Oder liege ich da falsch?

 

Mag sein, auf jeden Fall ist es schon länger gefixt. Der Patch kam glaube ich am Nachmittag nach der Entdeckung/Bekanntgabe des Bugs raus.

 *Quote:*   

> 
> 
> Pps: Ich will kein Extra Thread aufmachen.. dafür.. aber kann ich "KDE-Programme" wie Kopete.. unter "Gnome" einfach so öffnen? Oder sind die so sehr an KDE gebunden das es zu komplikationen kommen könnte?!
> 
> Ich hab grad beides drauf.. weil KDE so langsam war und sich immer aufhing 
> ...

 

Eigentlich sollte es keine Probleme geben, solange du Qt Libs installiert hast, was aber eigentlich automatisch geschehen sollte. Normalweise sollte dann selbst im Gnom-Menu die Einträge der KDE-Apps vorhanden sein.

----------

## benjamin200

Hi Leute,

ChrisJumper schrieb:

 *Quote:*   

> 
> 
> Ich will kein Extra Thread aufmachen.. dafür.. aber kann ich "KDE-Programme" wie Kopete.. unter "Gnome" einfach so öffnen? Oder sind die so sehr an KDE gebunden das es zu komplikationen kommen könnte?! 
> 
> 

 

Wieso keinen extra Thread aufmachen? Lieber für Unübersichtlichkeit in diesem Thread sorgen? 

Nee oder?

Zum aktuellen Thema:

Aktuell hat sich noch nichts in Portage getan. Wird wohl durch die Release 1.0.3 in Portage gefixxed. Wunder mich schon sehr, da ja ziemlich viele Linux-User auf Mozilla / Firefox setzen und Gentoo ja für Sicherheit ausgelegt ist/sein sollte. Gab es hier "dokumentierte Probleme"?

Gruß,

Benjamin

----------

## Duncan Mac Leod

 *benjamin200 wrote:*   

> Zum aktuellen Thema:
> 
> Aktuell hat sich noch nichts in Portage getan. Wird wohl durch die Release 1.0.3 in Portage gefixxed. Wunder mich schon sehr, da ja ziemlich viele Linux-User auf Mozilla / Firefox setzen und Gentoo ja für Sicherheit ausgelegt ist/sein sollte. Gab es hier "dokumentierte Probleme"?

 

Stimmt! ...hat sich noch nix getan - obwohl der fix (als ebuild) im cvs ist - warum den keiner freigibt ??

Ich hab's mit einer exploit page bei mir selber getestet - ist nicht lustig, wenn das RAM ausgelesen werden kann, wenngleich es in der Regel trotzdem nicht so einfach fuer einen 'Spion' ist, was Passendes rauszufischen...

Bis zur 1.0.3 sollte man eigentlich nicht warten, zumal es oft nicht sinnvoll ist, mit abgeschaltetem JScript (Als Notbehelf) zu surfen...

----------

## Voltago

Na dann holt Euch doch einfach einstweilen den ebuild aus bugzilla, scheißt ihn in Euer Overlay und übersetzt den Fuchs neu. Hab' ich auch gemacht, klappt prima.

----------

## benjamin200

 *Voltago wrote:*   

> Na dann holt Euch doch einfach einstweilen den ebuild aus bugzilla, scheißt ihn in Euer Overlay und übersetzt den Fuchs neu. Hab' ich auch gemacht, klappt prima.

 

Hi Voltage,

war das mit dem scheißt ein typo oder bist du etwas gereizt  :Smile: 

Gruß

Benjamin

----------

## sambatasse

Darf ick mich mal ganz dumm gefragt Anschliessen.

Warum sowas wichtiges nicht schnell in Portage ist.

1 Es ist ja anscheinend etwas Sicherheitsrelevantes.

2 Keine Ahnung aber nehme an doch eher wenning Arbeit für Fachkundige. 

schlisslich kompieliren die User ja selber.

3 Wäre ick nicht zufälling drüber getollpert Wüstte ich nicht davon und Denke so gehts noch einigen.

Wer kann denn bei jedem Paket nachsehen obs da Probleme gibt?

4 Ick fummel nix selber da rum sonst geht am Ende noch mehr  :Wink: 

----------

## Voltago

 *benjamin200 wrote:*   

>  *Voltago wrote:*   Na dann holt Euch doch einfach einstweilen den ebuild aus bugzilla, scheißt ihn in Euer Overlay und übersetzt den Fuchs neu. Hab' ich auch gemacht, klappt prima. 
> 
> Hi Voltage,
> 
> war das mit dem scheißt ein typo oder bist du etwas gereizt 

 

Nö, überhaupt nicht, tut mir leid wenn das etwas barsch rübergekommen ist.

----------

## benjamin200

sambatasse schrieb:

 *Quote:*   

> 
> 
> Wäre ick nicht zufälling drüber getollpert Wüstte ich nicht davon und Denke so gehts noch einigen. 
> 
> 

 

IT Schlagzeilen, zum Bleistift auf www.heise.de

Voltago schrieb:

 *Quote:*   

> 
> 
> Nö, überhaupt nicht, tut mir leid wenn das etwas barsch rübergekommen ist.
> 
> 

 

Kein Problem

----------

## sambatasse

 *Quote:*   

> IT Schlagzeilen, zum Bleistift auf www.heise.de 

 

Habe denn Newslätter och abboniert!

Also kann ich Mozilla und co nicht mehr benutzen bis eine neue Version da ist.

Das wolte ich ja nur wissen.

----------

## benjamin200

 *Quote:*   

> 
> 
> Also kann ich Mozilla und co nicht mehr benutzen bis eine neue Version da ist. 
> 
> Das wolte ich ja nur wissen.
> ...

 

Kein Problem. Einfach selbst update bzw patchen, 

oder damit leben bis das Paket in Portage integriert wurde.

Gruß,

Benjamin

----------

## platinumviper

 *sambatasse wrote:*   

> Also kann ich Mozilla und co nicht mehr benutzen bis eine neue Version da ist.

 Lies die Meldung noch 'mal, die "Sicherheitslücke" existiert nur, wenn Javascript aktiviert ist. Es ist also niemand betroffen, der auch nur ein klein wenig Wert auf seine Sicherheit legt.

platinumviper

----------

## benjamin200

Firefox- und Mozilla-Updates schließen Sicherheitslücken [Update]

 *Quote:*   

> 
> 
> Die Mozilla Foundation hat Version 1.0.3 seines Browsers Firefox sowie Release 1.7.7 der Internet-Suite Mozilla herausgebracht. Die Updates schließen neun Sicherheitslücken, darunter ein JavaScript-Problem, das es dem Angreifer ermöglicht, auf dem PC des Opfers Teile des Hauptspeichers auszulesen. Des Weiteren haben die Entwickler drei bislang unveröffentlichte Schwachstellen beseitigt, die sie selbst als kritisch einstufen. Über zwei davon kann ein Angreifer laut Fehlerbeschreibung eigenen Code auf einem Rechner ausführen. Als Workaround hilft hier auch das Abschalten von JavaScript
> 
> Ob alle Firefox- und Mozilla-Erweiterungen, die mit den Vorgängerversionen laufen, auch mit den neuen Releases funktionieren, steht zu bezweifeln. Noch gestern waren die Entwickler auf der Jagd nach inkompatiblen Erweiterungen. Die Mozilla-Foundation erklärte aber, man habe mit den Autoren der Erweiterungen zusammengearbeitet. Updates für die einzelnen Extensions, die bereits verfügbar seien oder in den nächsten Tagen veröffentlicht würden, sollten möglicherweise bestehende Probleme mit den neuen Releases beheben. (jo/c't) 
> ...

 

Quelle: www.heise.de

Mal sehen wann es im Portage ist  :Smile: 

Gruß,

Benjamin

----------

## Duncan Mac Leod

 *benjamin200 wrote:*   

> Mal sehen wann es im Portage ist 

 

Also - ich hab HIER 1.0.3 mittels ebuild laufen  :Smile:  ...

Du kannst Dir den eBuild unter https://bugs.gentoo.org/show_bug.cgi?id=86070 holen - hab den 1.0.3er seit 2 Stunden im Einsatz...

Have Fun,

Duncan

----------

## ian!

2 Stunden? Du bist langsam.  :Razz: 

 :Wink: 

----------

## Duncan Mac Leod

 *ian! wrote:*   

> 2 Stunden? Du bist langsam. 

 

Naja - hab auch hier im Moment nur einen PIII 800er  :Wink:  ... - der compiled nunmal etwas laenger (aber nur leicht  :Wink:  ...)

----------

## ian!

Im Kontextmenue (rechte Maustaste im Fenster), habe ich unterhalb von Select all bis View page source vier leere Menueeinträge. Kann das wer bestätigen, oder ist das auf eine kaputte Config bei mir zurückzuführen?

----------

## Duncan Mac Leod

Nein - bei mir ist alles bestens... Kommt direkt eine Trennlinie nach Select All und nach der Trennlinie kommt View Page Source...

Muss dazu sagen, dass der firefox mit gtk+ 2.6.7 compiliert wurde...

----------

## ian!

Ich habe mal testweise die Config unter ~/.mozilla/firefox beiseite geschoben und siehe da: Problem nicht mehr vorhanden. Also muss es irgendeine Konfiguration in meinem alten Profil sein. Ich tippe ja auch irgendwelche Extensions. Mal schauen.

Edit: Es waren tatsächlich einige Extensions. - Lösung: Extension(s) deinstallieren. Firefox neustarten. Extension(s) installieren. Glücklich sein.  :Wink: 

----------

## benjamin200

 *Quote:*   

> 
> 
> Also - ich hab HIER 1.0.3 mittels ebuild laufen  ...
> 
> Du kannst Dir den eBuild unter https://bugs.gentoo.org/show_bug.cgi?id=86070 holen - hab den 1.0.3er seit 2 Stunden im Einsatz... 
> ...

 

Danke für den Link zum inoffizielen ebuild. Wenn 1.0.3 im offizielen Portage ist, setze ich den Thread auf solved.

Gruß,

Benjamin

----------

## schachti

[quote="benjamin200"] *Quote:*   

> 
> 
> Danke für den Link zum inoffizielen ebuild. Wenn 1.0.3 im offizielen Portage ist, setze ich den Thread auf solved.
> 
> 

 

Nun ist es soweit, mal schauen, wie die neue Version sich anfühlt...

----------

## benjamin200

 *Quote:*   

> 
> 
> Nun ist es soweit, mal schauen, wie die neue Version sich anfühlt...
> 
> 

 

...es fühlt sich sehr gut an  :Smile: 

Firefox Version 1.0.3 stable on x86 amd64 ppc.

Thread Solved

Gruß

Benjamin

----------

