Ist denn von dieser Firefoxlücke auch GNU/LInux betroffen? Und falls ja: Ist eine Infektion möglich, wenn Firefox "normal" installiert ist oder nur, wenn Firefox vom Nutzer heruntergeladen wurde, an der Paketverwaltung vorbei im eigenen Home-Verzeichnis mit Nutzerrechten entpackt und gestartet wird?
Das dürfte doch egal sein. Der FF wird doch wohl immer als User aufgerufen, oder? Im schlimmsten Fall sendet er cookies oder Passwörter zum Absender, oder das was ein Javascript unter Userrechte alles darf.
Mein FF war davon nicht richtig betroffen, weil ich generell das NoScript AddOn nutze.
Egal gibt es nicht. Ist GNU/Linux z.B. mit Firefox 3.6.11 gefährdet, ja oder nein, und wenn ja, warum? Eine ganz naheliegende Frage.
Die Firefoxmeldung steht hier auf Prolinux. Ich glaube kaum, dass Prolinux eine derartige Meldung verbreitet, nur weil ausschließlich W2k- und WinXP-Nutzer von dieser Lücke betroffen sind. Andererseits halte ich auch nichts davon, irgendwelche "Alerts" unreflektiert nachzubeten. Deshalb die Frage.
> Ist GNU/Linux z.B. mit Firefox 3.6.11 gefährdet, ja oder nein, und wenn ja, warum?
Nein, Linux ist nicht davon betroffen. Die Sicherheitslücke ist zwar auch unter Linux vorhanden (da gleicher Quellcode), der angesprochene Exploit ist über für Windows XP angelegt. Vista und W7 sind davon auch nicht betroffen. Siehe auch die Meldung von gestern bei Heise.de.
Zitat :
Nach Analysen von Trend Micro versucht der Exploit jedoch, nur ältere Windows-Versionen mit Firefox 3.6.x zu infizieren. Bei Windows 7 und Vista (die der Exploit am Browser-Header erkennt) bleibt der Exploit inaktiv – vermutlich weil er dort zu viele Sicherheitshürden nehmen müsste. Der Exploit installiert eine Backdoor (BKDR_NINDYA.A.), die mit verschiedenen Servern Kontakt aufnimmt.
Solange sich kein Entwickler die Mühe macht einen passenden Exploit zu schreiben, der auch unter Linux funktioniert, liegt das Sicherheitsrisiko mit Firefox 3.6.11 bei nahezu Null. Da heute aber schon Firefox 3.6.12 erschienen ist und die allermeisten Distributionen diesen bis spätestens Ende der Woche als Update anbieten, dürfte sich so ein Aufwand gar nicht erst lohnen.
Für aktive Inhalte (JavaScript, Flash, Java) nutze ich einen Browser nur noch mittels Virtualbox (Mandriva als Host und Gast). Denn natürlich könnte eine Sicherheitslücke in Firefox auch unter Linux im Home-Verzeichnis Schaden anrichten: Nutzerdaten auslesen oder gar das Home-Verzeichnis löschen.
Nach dem Gebrauch des Browsers setze ich die Virtualbox natürlich auf den Ausgangsszustand zurück, wodurch evtl. eingefangene Schädlinge oder eben auch nur die gespeicherten Cookies etc. wieder verschwinden, weil es die Surfsession ja dann sozusagen gar nicht gab.
Der IE6 ist wahrhaftig ein Browser. Nicht nur das er jahrelang den Maßstab in der Webentwicklung vorgab, er wird immer noch von Unternehmen eingesetzt. Und die müssen es ja wissen.
Von linuxteacher am Do, 28. Oktober 2010 um 15:22 #
"Der IE gab jahrelang den Standard in der Webentwicklung vor." Ja, genau. Microsoft scherte sich nicht groß darum, was die html-Standards waren. Sie verteilten html-Entwicklungsumgebungen, die html-Code produzierten, der nicht konform zum w3c-Standard war. Und so entstanden viele Webseiten, die man nur mit dem IE richtig lesen konnte. Die anderen Browser wurden so immer weiter abgehängt, und das lag mit Sicherheit nicht daran, dass diese schlechter waren, sondern es lag einfach daran, dass Microsoft wieder mal die Monpolkarte ausspielte. Diese Strategie läuft im Endeffekt darauf hinaus, dass Betriebe und Privatnutzer sagen: Wenn ich brav meine M$-Steuer bezahle und der M$-Welt treu bleibe, dann habe ich keine Probleme. Diese Lösung ist sicher im Interesse von M$, aber es widerspricht einer freien Zugänglichkeit zu Informationen und die Monopolstruktur wirft auch viele Sicherheitsprobleme auf.
Wie lange gibt es den IE7 eigentlich schon? Wie lange gibt es den IE8 schon?
Beide haben eine eingebaute Kompatibilitätsschicht, die den Browser auf Wunsch und bei Bedarf abwärtskompatibel im IE6-Modus betreiben bzw. darauf "optimierte" Webinhalte darstelen kann als würde man den IE6 nutzen.
Microsoft hat in der Tat Fehler in der Vergangenheit gemacht. Aber aus diesen Fehlern inzwischen auch gelernt und sie weitgehend bereinigt bzw. immer noch dabei sie zu bereinigen. Aber ist Microsoft jetzt auch noch schuld daran, dass viele Firmen und Privatanwender es nicht gebacken kriegen (nicht selten aus purer Faulheit/Bequemlichkeit/Ahnungslosigkeit ihrer IT-Verantwortlichen), ein einfaches Browser-Update wenigstens auf einen aktuellen IE8 hinzubekommen?
Mal die Kirche im Dorf lassen beim Schuldzuschieben. An DIESER Misere, dass der IE6 noch so verbreitet ist, daran trägt Microsoft inzwischen den geringsten Schuldanteil. Im Gegenteil: dort ist man mit allen Kräften bemüht, dieses alte Ding endlich von den Desktops der Welt zu bekommen! Nein, Anwender/Firmen/IT-Verantwortliche/Inhalte-Anbieter halten diesen alten Zombie namens IE6 höchstselbst alle noch am Leben anstatt ihn endlich mal achtkantig zu entsorgen und links liegenzulassen.
[]Die Firmen benutzen immer noch den IE6 weil für w2k der IE7 gar nie erschienen ist.. []Die Firmen benutzen immer noch den IE6 weil sie teure Aplikationen entwickelt haben und diese (wegen Microsoftw absichtlicher inkompatibilität) nicht mit modernen Browdern laufen. Die Firmen
[]ODER die Firmenadmins sind die wahren Pros und wissen dass der Bowser nur so sicher ist wie der Anwender dahinter und esshalb egal ist welchen man nimmt. Updaten würde da nur Sinnlose mehrarbeit bedeuten.
[X]ODER die Firmenadmins sind die wahren Pros und wissen dass der Bowser nur so sicher ist wie der Anwender dahinter und esshalb egal ist welchen man nimmt. Updaten würde da nur Sinnlose mehrarbeit bedeuten.
"Never Touch a Running System" Wir warten erst, bis nichts mehr geht Vortrag von Benedikt Stockebrand, 03. Juni 2003 (PDF) http://www.guug.de/lokal/karlsruhe/2003-06-03/never-touch_d.pdf http://www.benedikt-stockebrand.de/never-touch_d.pdf
Zusammenfassung: Kaum eine Bauern- oder besser gesagt Sysadmin-Regel wird so oft und so fatal mißverstanden wie ”Never Touch a Running System“. Der Vortrag untersucht die Herkunft und ursprüngliche Bedeutung der Regel, ihre Anwendbarkeit auf heutige IT-Umgebungen, gängige Fehlinterpretationen, ihren bewußten Mißbrauch und wie ein Systemadministrator mit diesem Phänomen umgehen kann.[..]
"Never Touch a Running System" Revisited Ein Versuch zur Ursachenforschung Benedikt Stockebrand, 21. Oktober 2003 (PDF) http://www.benedikt-stockebrand.de/never-touch-2_d.pdf
Zusammenfassung: Der vorhergehende Vortrag hat sich mit den Gefahren befaßt, die das oft mißverstandene “Never Touch a Running System” vor allem aus Sicht des IT-Betriebs mit sich bringt. Nachdem nun die Gefahren und auch einige Maßnahmen zum Umgang ihnen bekannt sind, stellt sich die Frage nach den Ursachen.[..]
> []Die Firmen benutzen immer noch den IE6 weil sie teure Aplikationen entwickelt haben und diese >(wegen Microsoftw absichtlicher inkompatibilität) nicht mit modernen Browdern laufen.
Und danach muss sich dann der ganze Rest der WWW-Welt richten und Rücksicht üben? Weil so eine Firma da eine strategische Fehlentscheidung getroffen hat und sich freiwillig und wider gesundem Menschenverstand und allen Warnern zum Trotz diesen Mühlstein IE6 (bzw. offenbare die Abhängigkeit seiner internen Applikationen davon) um den Hals gelegt hat? Und es für sie mit fortschreitender Zeit eigentlich immer schwieriger und immer teurer wird, auf aktuelle Grundlagen vom Betriebssystem und dem Browser her zu setzen, je länger sie warten statt endlich mal in die Puschen zu kommen und ihre Hausaufgaben zu machen?
Es ist das Wesen strategischer Fehlentscheidungen, wenn sie irgendwann einmal halt wehtun. Dafür muss aber nicht der ganze Rest der Welt in kollektive Geiselhaft genommen werden, sondern das muss und sollte dann jedes Unternehmen mit sich selber ausmachen müssen. Bzw. der ganze Rest der Weelt sollte darauf dringen und swert legen, dass die Prioritäten und Zuständigkeiten so herum verteilt sind und nicht andersherum.
Ist denn von dieser Firefoxlücke auch GNU/LInux betroffen?
Und falls ja:
Ist eine Infektion möglich, wenn Firefox "normal" installiert ist oder nur, wenn Firefox vom Nutzer heruntergeladen wurde, an der Paketverwaltung vorbei im eigenen Home-Verzeichnis mit Nutzerrechten entpackt und gestartet wird?
In meinem Ubuntu 10.10 ist bereits die neue Version 3.6.12 über die Aktualisierungsverwaltung installiert worden.
Das ist keine Antwort auf die Frage.
Doch! Wenn Ubuntu das Update parat hält, ist die Welt geheilt! Oder so.
Komisch. Bei kubuntu10.10 noch nicht. Ich habe hier Firefox 3.6.11
Jetzt ist der neue Firefox auch bei kubuntu angekommen
Das dürfte doch egal sein.
Der FF wird doch wohl immer als User aufgerufen, oder?
Im schlimmsten Fall sendet er cookies oder Passwörter zum Absender, oder das was ein Javascript unter Userrechte alles darf.
Mein FF war davon nicht richtig betroffen, weil ich generell das NoScript AddOn nutze.
Egal gibt es nicht.
Ist GNU/Linux z.B. mit Firefox 3.6.11 gefährdet, ja oder nein, und wenn ja, warum?
Eine ganz naheliegende Frage.
Die Firefoxmeldung steht hier auf Prolinux.
Ich glaube kaum, dass Prolinux eine derartige Meldung verbreitet, nur weil ausschließlich W2k- und WinXP-Nutzer von dieser Lücke betroffen sind.
Andererseits halte ich auch nichts davon, irgendwelche "Alerts" unreflektiert nachzubeten.
Deshalb die Frage.
> Ist GNU/Linux z.B. mit Firefox 3.6.11 gefährdet, ja oder nein, und wenn ja, warum?
Nein, Linux ist nicht davon betroffen. Die Sicherheitslücke ist zwar auch unter Linux vorhanden (da gleicher Quellcode), der angesprochene Exploit ist über für Windows XP angelegt. Vista und W7 sind davon auch nicht betroffen. Siehe auch die Meldung von gestern bei Heise.de.
Zitat :
Nach Analysen von Trend Micro versucht der Exploit jedoch, nur ältere Windows-Versionen mit Firefox 3.6.x zu infizieren. Bei Windows 7 und Vista (die der Exploit am Browser-Header erkennt) bleibt der Exploit inaktiv – vermutlich weil er dort zu viele Sicherheitshürden nehmen müsste. Der Exploit installiert eine Backdoor (BKDR_NINDYA.A.), die mit verschiedenen Servern Kontakt aufnimmt.
Solange sich kein Entwickler die Mühe macht einen passenden Exploit zu schreiben, der auch unter Linux funktioniert, liegt das Sicherheitsrisiko mit Firefox 3.6.11 bei nahezu Null. Da heute aber schon Firefox 3.6.12 erschienen ist und die allermeisten Distributionen diesen bis spätestens Ende der Woche als Update anbieten, dürfte sich so ein Aufwand gar nicht erst lohnen.
Für aktive Inhalte (JavaScript, Flash, Java) nutze ich einen Browser nur noch mittels Virtualbox (Mandriva als Host und Gast). Denn natürlich könnte eine Sicherheitslücke in Firefox auch unter Linux im Home-Verzeichnis Schaden anrichten: Nutzerdaten auslesen oder gar das Home-Verzeichnis löschen.
Nach dem Gebrauch des Browsers setze ich die Virtualbox natürlich auf den Ausgangsszustand zurück, wodurch evtl. eingefangene Schädlinge oder eben auch nur die gespeicherten Cookies etc. wieder verschwinden, weil es die Surfsession ja dann sozusagen gar nicht gab.
Ja, als Informatiker wird man irgendwann irgendwie ein bisschen paranoid.
Ich habe schon den IE6 via wine genutzt, weil der FF bis dato zu unsicher war.
Ja die beiden wechseln sich regelmäßig mit solchen Meldungen ab.
Nur das bei Firefox die Fixes schneller da sind ...
Stimme zu.
Der IE6 ist wahrhaftig ein Browser. Nicht nur das er jahrelang den Maßstab in der Webentwicklung vorgab, er wird immer noch von Unternehmen eingesetzt. Und die müssen es ja wissen.
"Der IE gab jahrelang den Standard in der Webentwicklung vor." Ja, genau. Microsoft scherte sich nicht groß darum, was die html-Standards waren. Sie verteilten html-Entwicklungsumgebungen, die html-Code produzierten, der nicht konform zum w3c-Standard war. Und so entstanden viele Webseiten, die man nur mit dem IE richtig lesen konnte. Die anderen Browser wurden so immer weiter abgehängt, und das lag mit Sicherheit nicht daran, dass diese schlechter waren, sondern es lag einfach daran, dass Microsoft wieder mal die Monpolkarte ausspielte. Diese Strategie läuft im Endeffekt darauf hinaus, dass Betriebe und Privatnutzer sagen: Wenn ich brav meine M$-Steuer bezahle und der M$-Welt treu bleibe, dann habe ich keine Probleme. Diese Lösung ist sicher im Interesse von M$, aber es widerspricht einer freien Zugänglichkeit zu Informationen und die Monopolstruktur wirft auch viele Sicherheitsprobleme auf.
Wie lange gibt es den IE7 eigentlich schon? Wie lange gibt es den IE8 schon?
Beide haben eine eingebaute Kompatibilitätsschicht, die den Browser auf Wunsch und bei Bedarf abwärtskompatibel im IE6-Modus betreiben bzw. darauf "optimierte" Webinhalte darstelen kann als würde man den IE6 nutzen.
Microsoft hat in der Tat Fehler in der Vergangenheit gemacht. Aber aus diesen Fehlern inzwischen auch gelernt und sie weitgehend bereinigt bzw. immer noch dabei sie zu bereinigen. Aber ist Microsoft jetzt auch noch schuld daran, dass viele Firmen und Privatanwender es nicht gebacken kriegen (nicht selten aus purer Faulheit/Bequemlichkeit/Ahnungslosigkeit ihrer IT-Verantwortlichen), ein einfaches Browser-Update wenigstens auf einen aktuellen IE8 hinzubekommen?
Mal die Kirche im Dorf lassen beim Schuldzuschieben. An DIESER Misere, dass der IE6 noch so verbreitet ist, daran trägt Microsoft inzwischen den geringsten Schuldanteil. Im Gegenteil: dort ist man mit allen Kräften bemüht, dieses alte Ding endlich von den Desktops der Welt zu bekommen! Nein, Anwender/Firmen/IT-Verantwortliche/Inhalte-Anbieter halten diesen alten Zombie namens IE6 höchstselbst alle noch am Leben anstatt ihn endlich mal achtkantig zu entsorgen und links liegenzulassen.
Die Geister die ich rief...
[]Die Firmen benutzen immer noch den IE6 weil für w2k der IE7 gar nie erschienen ist..
[]Die Firmen benutzen immer noch den IE6 weil sie teure Aplikationen entwickelt haben und diese (wegen Microsoftw absichtlicher inkompatibilität) nicht mit modernen Browdern laufen.
Die Firmen
[]ODER die Firmenadmins sind die wahren Pros und wissen dass der Bowser nur so sicher ist wie der Anwender dahinter und esshalb egal ist welchen man nimmt. Updaten würde da nur Sinnlose mehrarbeit bedeuten.
[X]ODER die Firmenadmins sind die wahren Pros und wissen dass der Bowser nur so sicher ist wie der Anwender dahinter und esshalb egal ist welchen man nimmt. Updaten würde da nur Sinnlose mehrarbeit bedeuten.
"Never Touch a Running System"
Wir warten erst, bis nichts mehr geht
Vortrag von Benedikt Stockebrand, 03. Juni 2003 (PDF)
http://www.guug.de/lokal/karlsruhe/2003-06-03/never-touch_d.pdf
http://www.benedikt-stockebrand.de/never-touch_d.pdf
Zusammenfassung: Kaum eine Bauern- oder besser gesagt Sysadmin-Regel wird so oft und so fatal mißverstanden wie ”Never Touch a Running System“. Der Vortrag untersucht die Herkunft und ursprüngliche Bedeutung der Regel, ihre Anwendbarkeit auf heutige IT-Umgebungen, gängige Fehlinterpretationen, ihren bewußten Mißbrauch und wie ein Systemadministrator mit diesem Phänomen umgehen kann.[..]
"Never Touch a Running System" Revisited
Ein Versuch zur Ursachenforschung
Benedikt Stockebrand, 21. Oktober 2003 (PDF)
http://www.benedikt-stockebrand.de/never-touch-2_d.pdf
Zusammenfassung: Der vorhergehende Vortrag hat sich mit den Gefahren befaßt, die das oft mißverstandene “Never Touch a Running System” vor allem aus Sicht des IT-Betriebs mit sich bringt. Nachdem nun die Gefahren und auch einige Maßnahmen zum Umgang ihnen bekannt sind, stellt sich die Frage nach den Ursachen.[..]
> []Die Firmen benutzen immer noch den IE6 weil sie teure Aplikationen entwickelt haben und diese >(wegen Microsoftw absichtlicher inkompatibilität) nicht mit modernen Browdern laufen.
Und danach muss sich dann der ganze Rest der WWW-Welt richten und Rücksicht üben? Weil so eine Firma da eine strategische Fehlentscheidung getroffen hat und sich freiwillig und wider gesundem Menschenverstand und allen Warnern zum Trotz diesen Mühlstein IE6 (bzw. offenbare die Abhängigkeit seiner internen Applikationen davon) um den Hals gelegt hat?
Und es für sie mit fortschreitender Zeit eigentlich immer schwieriger und immer teurer wird, auf aktuelle Grundlagen vom Betriebssystem und dem Browser her zu setzen, je länger sie warten statt endlich mal in die Puschen zu kommen und ihre Hausaufgaben zu machen?
Es ist das Wesen strategischer Fehlentscheidungen, wenn sie irgendwann einmal halt wehtun. Dafür muss aber nicht der ganze Rest der Welt in kollektive Geiselhaft genommen werden, sondern das muss und sollte dann jedes Unternehmen mit sich selber ausmachen müssen. Bzw. der ganze Rest der Weelt sollte darauf dringen und swert legen, dass die Prioritäten und Zuständigkeiten so herum verteilt sind und nicht andersherum.
So wie es gerade Apple macht mit HTML5. Alles Dreck!