Firefox 3.6 Sicherheitwarnung
Moin zusammen, ich habe gerade eine Sicherheitswarnung vom BSI (B-Cert)bekommen. Danach gibt es eine aktuelle Sicherheitswarnung für den FF 3.6 und es wird empfohlen bis zum 30. März auf Alternativbrowser auszuweichen. Im Mozillablog wird dagegen empfohlen, direkt das Beta-Release einzusetzen. Weiß jemand von Euch, ob das den FF in der Windowsumgebung betrifft oder gilt das generell auch für FF in Suse (Linux)- Umgebung? Für letzteres habe ich zumindest keine Hinweise. Was mich genauso stutzig macht, ist die Meldung, bei der Warnung könnte es sich um einen Hoax handeln und die Diskussion, die sich darum entwickelt. Weiß jemand näheres? Bevor ich jetzt auf Seamonkey und Konqueror ausweiche, würde ich gern wissen, ob es dafür einen echten Grund gibt? http://blog.mozilla.com/security/2010/02/22/secunia-advisory-sa38608/ Die Leute von B-Cert sprechen dabei von FF als betroffenem System. Ich habe im folgenden den Text der Originalmail eingestellt. Grüße und sonniges WE, Christoph v. Gallera Beginn: Technische Warnung des Buerger-CERT [Bcert-2010-0022/1]: Mozilla Firefox Risiko: Hoch Betroffene Systeme: Mozilla Firefox Version 3.6 Empfehlung: Aufgrund einer der Mozilla Foundation vertraulich gemeldeten Sicherheitsluecke empfiehlt das Buerger-CERT die Nutzung alternativer Browser, bis die Mozilla Firefox Version 3.6.2 veroeffentlicht ist. Der aktuelle Veroeffentlichungsplan von Firefox 3.6.2 sieht eine Bereitstellung am Dienstag, 30. Maerz 2010 vor. Beschreibung: Es existiert eine bislang nicht naeher spezifizierte Sicherheitsluecke in Mozilla Firefox Version 3.6. Ein entfernter Angreifer hat mithilfe von manipulierten Webseiten die Moeglichkeit, Schadcode im Kontext des angemeldeten Benutzers auszufuehren. Quellen: [1] Mozilla Security Blog http://blog.mozilla.com/security/2010/03/18/update-on-secunia-advisory-sa386... [2] Secunia Advisory SA38608 http://secunia.com/advisories/38608/ [3] Mozilla Firefox 3.6.2 Releaseplan https://wiki.mozilla.org/Releases/Firefox_3.6.2/Test_Plan Ende
On Fri, Mar 19, 2010 at 05:02:10PM +0100, Christoph von Gallera wrote:
Moin zusammen,
ich habe gerade eine Sicherheitswarnung vom BSI (B-Cert)bekommen.
Danach gibt es eine aktuelle Sicherheitswarnung für den FF 3.6 und es wird empfohlen bis zum 30. März auf Alternativbrowser auszuweichen. Im Mozillablog wird dagegen empfohlen, direkt das Beta-Release einzusetzen.
Weiß jemand von Euch, ob das den FF in der Windowsumgebung betrifft oder gilt das generell auch für FF in Suse (Linux)- Umgebung? Für letzteres habe ich zumindest keine Hinweise.
Was mich genauso stutzig macht, ist die Meldung, bei der Warnung könnte es sich um einen Hoax handeln und die Diskussion, die sich darum entwickelt.
Weiß jemand näheres? Bevor ich jetzt auf Seamonkey und Konqueror ausweiche, würde ich gern wissen, ob es dafür einen echten Grund gibt?
http://blog.mozilla.com/security/2010/02/22/secunia-advisory-sa38608/
Die Leute von B-Cert sprechen dabei von FF als betroffenem System.
Ich habe im folgenden den Text der Originalmail eingestellt.
Grüße und sonniges WE, Christoph v. Gallera
Beginn: Technische Warnung des Buerger-CERT
[Bcert-2010-0022/1]: Mozilla Firefox
Risiko: Hoch
Betroffene Systeme: Mozilla Firefox Version 3.6
Empfehlung:
Aufgrund einer der Mozilla Foundation vertraulich gemeldeten Sicherheitsluecke empfiehlt das Buerger-CERT die Nutzung alternativer Browser, bis die Mozilla Firefox Version 3.6.2 veroeffentlicht ist. Der aktuelle Veroeffentlichungsplan von Firefox 3.6.2 sieht eine Bereitstellung am Dienstag, 30. Maerz 2010 vor.
Beschreibung:
Es existiert eine bislang nicht naeher spezifizierte Sicherheitsluecke in Mozilla Firefox Version 3.6. Ein entfernter Angreifer hat mithilfe von manipulierten Webseiten die Moeglichkeit, Schadcode im Kontext des angemeldeten Benutzers auszufuehren.
Quellen:
[1] Mozilla Security Blog http://blog.mozilla.com/security/2010/03/18/update-on-secunia-advisory-sa386...
[2] Secunia Advisory SA38608 http://secunia.com/advisories/38608/
[3] Mozilla Firefox 3.6.2 Releaseplan https://wiki.mozilla.org/Releases/Firefox_3.6.2/Test_Plan
Es wird Ende Maerz eine 3.6.2 Release geben, die wohl das Problem behebt. Ich denke bis dahin kann man noch mit dem Update warten. Ciao, Marcus -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
Hi, Am 19.03.2010 18:01, schrieb Marcus Meissner:
On Fri, Mar 19, 2010 at 05:02:10PM +0100, Christoph von Gallera wrote:
Moin zusammen,
ich habe gerade eine Sicherheitswarnung vom BSI (B-Cert)bekommen.
Danach gibt es eine aktuelle Sicherheitswarnung für den FF 3.6 und es wird empfohlen bis zum 30. März auf Alternativbrowser auszuweichen. Im Mozillablog wird dagegen empfohlen, direkt das Beta-Release einzusetzen.
Weiß jemand von Euch, ob das den FF in der Windowsumgebung betrifft oder gilt das generell auch für FF in Suse (Linux)- Umgebung? Für letzteres habe ich zumindest keine Hinweise.
Was mich genauso stutzig macht, ist die Meldung, bei der Warnung könnte es sich um einen Hoax handeln und die Diskussion, die sich darum entwickelt.
Weiß jemand näheres? Bevor ich jetzt auf Seamonkey und Konqueror ausweiche, würde ich gern wissen, ob es dafür einen echten Grund gibt?
http://blog.mozilla.com/security/2010/02/22/secunia-advisory-sa38608/
Die Leute von B-Cert sprechen dabei von FF als betroffenem System.
Ich habe im folgenden den Text der Originalmail eingestellt.
Grüße und sonniges WE, Christoph v. Gallera
Beginn: Technische Warnung des Buerger-CERT
[Bcert-2010-0022/1]: Mozilla Firefox
Risiko: Hoch
Betroffene Systeme: Mozilla Firefox Version 3.6
Empfehlung:
Aufgrund einer der Mozilla Foundation vertraulich gemeldeten Sicherheitsluecke empfiehlt das Buerger-CERT die Nutzung alternativer Browser, bis die Mozilla Firefox Version 3.6.2 veroeffentlicht ist. Der aktuelle Veroeffentlichungsplan von Firefox 3.6.2 sieht eine Bereitstellung am Dienstag, 30. Maerz 2010 vor.
Beschreibung:
Es existiert eine bislang nicht naeher spezifizierte Sicherheitsluecke in Mozilla Firefox Version 3.6. Ein entfernter Angreifer hat mithilfe von manipulierten Webseiten die Moeglichkeit, Schadcode im Kontext des angemeldeten Benutzers auszufuehren.
Quellen:
[1] Mozilla Security Blog http://blog.mozilla.com/security/2010/03/18/update-on-secunia-advisory-sa386...
[2] Secunia Advisory SA38608 http://secunia.com/advisories/38608/
[3] Mozilla Firefox 3.6.2 Releaseplan https://wiki.mozilla.org/Releases/Firefox_3.6.2/Test_Plan
Es wird Ende Maerz eine 3.6.2 Release geben, die wohl das Problem behebt.
Ich denke bis dahin kann man noch mit dem Update warten.
Zusätzlich noch als Info. Es ist wirklich "nur" Firefox 3.6 betroffen. Nicht Firefox 3.5.x (oder älter) oder SeaMonkey 2.0.x. Wer also vorsichtig sein will, kann für die Tage bis zum FF 3.6.2 Release auf 3.5.8 gehen. Wolfgang -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
On 19.03.2010, Wolfgang Rosenauer wrote:
Wer also vorsichtig sein will, kann für die Tage bis zum FF 3.6.2 Release auf 3.5.8 gehen.
Haste mal 'n Repo? :-) Im Ernst, ich kann keinen Firefox-3.5.8 finden. -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
On Sat, Mar 20, 2010 at 06:46:53PM +0100, Heinz Diehl wrote:
On 19.03.2010, Wolfgang Rosenauer wrote:
Wer also vorsichtig sein will, kann für die Tage bis zum FF 3.6.2 Release auf 3.5.8 gehen.
Haste mal 'n Repo? :-)
Im Ernst, ich kann keinen Firefox-3.5.8 finden.
Im Standard Update Repo. Fuer 11.0 und 11.1 gibts da auch noch 3.0.18, der ist auch unaffected. Ciao, Marcus -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
Hallo zusammen, Marcus Meissner meinte am Samstag, den 20.03.2010 um 18:48 Uhr wegen:Firefox 3.6 Sicherheitwarnung
On Sat, Mar 20, 2010 at 06:46:53PM +0100, Heinz Diehl wrote:
On 19.03.2010, Wolfgang Rosenauer wrote:
Wer also vorsichtig sein will, kann für die Tage bis zum FF 3.6.2 Release auf 3.5.8 gehen.
ich las heute, der Bug sei behoben und es betraf die Windows-Version. Leider finde ich den link bei heise gerade nicht. Ist die Linux-Version tatsächlich betroffen? Gibt es Aussagen, worin der Bug bestand? -- Beste Grüße Christian -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
Am 20.03.2010 18:56, schrieb Christian Meseberg:
Hallo zusammen,
Marcus Meissner meinte am Samstag, den 20.03.2010 um 18:48 Uhr wegen:Firefox 3.6 Sicherheitwarnung
On Sat, Mar 20, 2010 at 06:46:53PM +0100, Heinz Diehl wrote:
On 19.03.2010, Wolfgang Rosenauer wrote:
Wer also vorsichtig sein will, kann für die Tage bis zum FF 3.6.2 Release auf 3.5.8 gehen.
ich las heute, der Bug sei behoben und es betraf die Windows-Version. Leider finde ich den link bei heise gerade nicht.
Der Bug ist ja behoben mit 3.6.2. Diese Version wird gerade getestet und Ende März freigegeben. Der betroffene Code ist plattformunabhängig, soweit ich sehen kann. Ob es vielleicht nur unter Windows exploitable ist oder nicht, kann ich nicht genau sagen.
Ist die Linux-Version tatsächlich betroffen? Gibt es Aussagen, worin der Bug bestand?
Die wird es noch geben, sobald Details bekannt gegeben werden. Wahrscheinlich erst, wenn Firefox 3.6.2 offiziell verfügbar ist. Wolfgang -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
Hallo zusammen, Wolfgang Rosenauer meinte am Samstag, den 20.03.2010 um 20:17 Uhr wegen:Firefox 3.6 Sicherheitwarnung
Der Bug ist ja behoben mit 3.6.2. Diese Version wird gerade getestet und Ende März freigegeben. Der betroffene Code ist plattformunabhängig, soweit ich sehen kann. Ob es vielleicht nur unter Windows exploitable ist oder nicht, kann ich nicht genau sagen.
Ist die Linux-Version tatsächlich betroffen? Gibt es Aussagen, worin der Bug bestand?
Die wird es noch geben, sobald Details bekannt gegeben werden. Wahrscheinlich erst, wenn Firefox 3.6.2 offiziell verfügbar ist.
danach sind Pinguine nicht betroffen: http://www.chip.de/news/Zero-Day-Exploit-Bundesamt-warnt-vor-Firefox-3.6_420... -- Beste Grüße Christian -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
Hi, Am 22.03.2010 23:04, schrieb Christian Meseberg:
Wolfgang Rosenauer meinte am Samstag, den 20.03.2010 um 20:17 Uhr wegen:Firefox 3.6 Sicherheitwarnung
Der Bug ist ja behoben mit 3.6.2. Diese Version wird gerade getestet und Ende März freigegeben. Der betroffene Code ist plattformunabhängig, soweit ich sehen kann. Ob es vielleicht nur unter Windows exploitable ist oder nicht, kann ich nicht genau sagen.
Ist die Linux-Version tatsächlich betroffen? Gibt es Aussagen, worin der Bug bestand?
Die wird es noch geben, sobald Details bekannt gegeben werden. Wahrscheinlich erst, wenn Firefox 3.6.2 offiziell verfügbar ist.
danach sind Pinguine nicht betroffen:
http://www.chip.de/news/Zero-Day-Exploit-Bundesamt-warnt-vor-Firefox-3.6_420...
Naja, es hat niemand einen Exploit für Linux veröffentlich vielleicht. Mindestens vom Crash ist auch Linux betroffen. Aber irrelevant, weil Firefox 3.6.2 nun etwas vorzeitig freigegeben wurde: http://www.mozilla.org/security/announce/2010/mfsa2010-08.html Wolfgang -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
On 20.03.2010, Marcus Meissner wrote:
Im Ernst, ich kann keinen Firefox-3.5.8 finden.
Im Standard Update Repo.
Da liegt bei mir als aktuellste 3.5 Version ein firefox-3.5.4-1.1.2.
Fuer 11.0 und 11.1 gibts da auch noch 3.0.18, der ist auch unaffected.
Ja, auf den habe ich gerade gewechselt. -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
On Sat, Mar 20, 2010 at 06:56:25PM +0100, Heinz Diehl wrote:
On 20.03.2010, Marcus Meissner wrote:
Im Ernst, ich kann keinen Firefox-3.5.8 finden.
Im Standard Update Repo.
Da liegt bei mir als aktuellste 3.5 Version ein firefox-3.5.4-1.1.2.
Das ist die mit 11.2 ausgelieferte Version, kein Update. Fuer Updates bitte als Repo hinzufuegen: http://download.opensuse.org/update/11.2/ und alle fehlenden Updates installieren (oder nur Firefox ;) Ciao, Marcus -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
Am Samstag 20 März 2010 18:56:25 schrieb Heinz Diehl:
Fuer 11.0 und 11.1 gibts da auch noch 3.0.18, der ist auch unaffected.
Ja, auf den habe ich gerade gewechselt.
Ich verwende die 3.0.18 unter 11.1 noch immer, da ich es nicht geschafft hatte 3.5 brauchbar zu installieren,. die Schrift in den Menüs war extrem groß. Was für einen Vorteil hat den 3.5 gegenüber 3.0? Mir ist noch nichts abgegangen. Al -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
Servus. Hat werd Erfahrung mit Opera und Firefox. Mich würde interessieren ob Opera was taugt. Ist irgendwie ein interessanter Browser, toller Style aber hat keinen gescheiten Pop-Up Blocker. starke Grüße Boris _________________________________________________________________ http://redirect.gimas.net/?n=M1003xHotmail2 Alles in einem Postfach – Ich will Hotmail!-- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
participants (7)
-
Al Bogner
-
B. Walt
-
Christian Meseberg
-
Christoph von Gallera
-
Heinz Diehl
-
Marcus Meissner
-
Wolfgang Rosenauer