Kritische Sicherheitslücke in Firefox: Update am Weg

dann wären die hämischen meldungen mancher FF-jünger in diesem licht weniger peinlich.

code qualität und bugfix-geschwindigkeit sind gut, aber nicht alles. gegen 0-days mit remote code execution helfen halt nur sandbox, DEP & co.

wo bleibt die meldung von BSI und co, die allen IE-usern (nicht nur der betroffenen versionen!) dringend zum umstieg geraten haben?

3.6.2 ist übrigens bereits released. Diese Sicherheitslücke kannst Du bereits ins Geschichtsbuch schreiben. Damit ist die Anzahl der bekannten Vulnerabilities beim Firefox wieder auf 0.

Das ist der Unterschied zwischen IE und allen anderen Browsern (nicht nur FF). Die anderen Browser haben in der Regel 0 bekannte Lücken ... wenn es mal welche gibt, sind die rasch beseitigt. Lücken die älter als wenige Wochen sind, sind sehr selten. Ganz anders verhält es sich beim IE, da sind bekannte Vulnerabilities oft jahrelang ungepatched.

Den entsprechenden Link kennst Du ja sicher schon: http://en.wikipedia.org/wiki/Comp... rabilities

Genau deshalb macht's auch Sinn, vom IE abzuraten, und niemanden sonst.

ps: hab grad manuell im FF über menü ein update gemacht und 3.6 bekommen statt 3.6.2. für die geschichtsbücher ist es also noch etwas früh, denn nicht jeder hängt an der mailing list und saugt sich seine updates manuell von der website...

mit 18:00 heute bekommt man 3.6.2., grade upgedated.

War bereits zeitig in der früh heute verfügbar.

Wahrscheinlich hat er ein Migration Update gemacht, das ist derzeit noch von 3.0.18 oder 3.5.8 auf 3.6, dann muss man nochmals auf "check for updates" gehen, um das Update für 3.6.2 zu bekommen. Neue Migration Updates gibt's wahrscheinlich erst nach Release von 3.0.19 und 3.5.9.

Nichtsdestotrotz, was zählt ist, dass 3.6.2 released ist.

dein denkfehler besteht darin, anzunehmen dass nur veröffentlichte lücken genutzt werden können. am fernöstlichen vulnerability-basar funktioniert das leider nicht so.

Ich rede ja auch nur von bekannten Sicherheitslücken (ebenso zeigt die Statistik auf Wikipedia nur "unpatched known vulnerabilities"). Über die unbekannten kann man nur spekulieren.

Aber selbst da steht eher der IE auf der schlechteren Seite. "Dank" ActiveX hat er by design ein offenes Scheunentor (ich schätze, dass auch der Großteil des riesigen Haufens der ungepatchten Sicherheitslücken in IE6 und IE7 darauf zurückzuführen ist). Dass der IE so tief ins OS integriert ist, ist der Sicherheit nicht sehr förderlich.

die zeiten, in denen der IE sorgenlos jedes ActiveX-control gestartet hat sind aber lange vorbei. die müssen explizit für den IE installiert werden, sonst geht gar nix. und wo ist jetzt der unterschied zu native-code plugins anderer browser?
ich geb die antwort gleich selber: es gibt keinen.
du lebst mit deiner ms-kritik zu weiten teilen in der vergangenheit.
aber vergleiche FF mit chrome, dann bist du vielleicht eher bereit zu akzeptieren, dass sandboxing heute einfach notwendig ist.

https://wiki.mozilla.org/Firefox/D... 2010-03-24 (BTW, das ist ein großes Extra-Plus beim Firefox, dass man sich über die gesamte Entwicklung sehr leicht am Laufenden halten kann)

Lorentz Branch (Firefox 3.6.3?)

* code freeze is this Friday, and we'll begin beta builds
* need to decide on numbering and release channel for those builds
* need to figure out how we move our beta testers over to it
==

Damit stehen out-of-process-plugins beim Firefox auch unmittelbar bevor, womit dieser Kritikpunkt am Firefox auch obsolet wird.

na das sind ja gute neuigkeiten, warum machst du dir dann eigentlich die mühe mit furchtbaren verrenkungen zu erklären warum das eh niemandem abgeht??

Ich sage nicht, dass das niemanden abgeht oder nicht eine gute Sache ist. Aber ich sage, dass es kein Allheilmittel ist. Es ist ein Faktor von vielen.

Der wichtigste positive Faktor bei Mozilla ist m.M.n. die schnelle Reaktionszeit, wenn mal etwas anbrennt - und dass Sicherheitslücken, wenn sie mal bekannt werden, in sehr kurzer Zeit wieder gefixed sind.

Das ist nach wie vor deutlich mehr wert als die OOPP, wenngleich die gut sind.

Umgekehrt gesagt, wenn Mozilla nicht so schnell reagieren würde, wäre das ein Manko, das auch die OOPP nicht ausgleichen könnten.

es geht beim sandboxing ja auch nicht nur um plugins. es geht darum, dass ein programmierfehler im browser-code (und davon gibt es überall welche) nicht genutzt werden kann, um den PC zum spambot zu machen. und dafür funktioniert es sehr gut.

da ich mich davor mehr fürchte als vor XSS & co fühle ich mich mit vista/7 + IE8 sicherer als mit dem FF. noch besser ist chrome, keine frage. aber FF-user, die IE-user nur mitleidig belächeln, haben schlichtweg selber keine ahnung.

Um den IE "mitleidig zu belächeln" (ich finde eher, er ist eine Krücke), gibt es viele Gründe. Dass Sicherheitslücken nicht/langsam gefixed werden ist eine davon.

Wobei mich das persönlich ja noch weniger stört, weil wenn ich den IE nicht verwende, betrifft mich das nicht. Das wirklich große Problem (da muss ich leider wieder einen Themensprung machen) sind die nicht/schlecht unterstützten Webstandards und dass MS freie Implementierungen torpediert (wie nun wieder topaktuell bei den Video- und Audiocodecs). Weil das betrifft mich auch, wenn ich selbst den IE nicht verwende.

Unter'm Strich ist der IE so dermaßen inakzeptabel und für die Entwicklung des WWW schädlich, dass Sandboxing auch nichts dazu beitragen kann, etwas gut zu machen.

"da muss ich leider wieder einen Themensprung machen"

musst du? ja, wirkt irgendwie schon zwanghaft. jede debatte endet in derselben endlosschleife. viel vergnügen noch.

Und wie gesagt, solange IE6 und IE7 offiziell supported werden, ist auch Kritik daran keine der Vergangenheit, sondern der Gegenwart (täte MS Support einstellen, wäre diese Kritik unzulässig, so aber nicht).

Dasselbe gilt auch für Sandboxing. Anhand der Vulnerabilites sieht man ja, dass das auch kein Allheilmittel ist. Wenn der Browser selber buggy ist, nutzt auch Sandboxing nichts.

Plugins sind zugegebenermaßen durchaus ein Problem. Deshalb versuchen ja standardbewusste Browserhersteller (Mozilla, Opera, hoffentlich auch Google), dass die Notwendigkeit für Plugins verschwindet - v.a. Flash. MS dagegen torpediert diesen Trend mit der Implementierung ausschließlich patentbehafteter Codecs (da kann man gleich bei Flash bleiben auch).

die vuln.statistik sagt nichts von dem aus, was du behauptest. sie sagt weder etwas über nicht veröffentlichte vulnerabilities im FF aus, noch über den zusammenhang zw. IE8-vulnerabilities und ActiveX, noch über die wirksamkeit von sandboxing. und was IE6-support mit der kritik an fehlendem sandboxing anderswo zu tun haben soll kann man sowieso nur noch blindem fanboy-verteidigungswahn zuschreiben. bleib mal beim thema, das ist ja furchtbar.

OK, zugegeben, da waren ein paar Sachen vermischt. Aber nichtsdestotrotz ist jeder Punkt für sich ein absolut zutreffender - und nach wie vor aktueller - Kritikpunkt.

nein, eben nicht.

sandboxing nutzt gerade dann, wenn der browser buggy ist.

das spezifische activex-problem ist vergangenheit. heute ist es genauso wie bei jedem anderen native-code-plugin-mechanismus.

theora wär schön, aber wenn MS das schon für IE9 ausgeschlossen hat dann habe ich es übersehen. im preview ists halt nicht drin, man wird sehen.

bleibt die glaubensfrage, ob MS den IE6-support einstellen muss, das hatten wir schon. traurige bilanz deiner absolut zutreffenden kritikpunkte.

Der Idealfall wäre natürlich beides. Wird der FF früher oder später auch haben, weil Plugins sind ja m.W.n. nur (da am dringlichsten, weil am meisten buggy) der erste Schritt. Stichwort: Electrolysis.

Ich glaub schon, gelesen zu haben, dass MS bereits ausgeschlossen hat, Ogg Theora und Vorbis im IE9 zu implementieren. Vielleicht kommt noch die späte Einsicht, aber erwarten tu ich's nicht. Und alleine damit disqualifiziert sich der IE9.

Dass mit IE6-Support irgendwas schief gelaufen ist, ist keine Glaubensfrage - dazu sind die negativen Folgen zu eindeutig. Man kann höchstens drüber streiten, was schief gelaufen ist. Von mir aus war's halt, dass man Kunden gegenüber Commitments abgegeben hat, die man nicht abgeben hätte dürfen.

"Ich glaub schon, gelesen zu haben..."

dann haben wir schon 2 glaubensfragen ;-)

die ie6-support-frage ist dann eindeutig zu beantworten, wenn man beschließt berechtigte interessen einer partei einfach zu ignorieren.

Ich würde mich gerne täuschen, was die Codecs anbelangt.

Interessen zweier Parteien: eine Partei ist eine Firma, die zweite Partei ist der Rest der Menschheit. Sorry, dass ich mich nur für den Rest der Menschheit interessiere.

es geht nicht um eine firma (MS) sondern um die, die den IE6 verwenden. aber wozu red ich...

Hier unterliegst aber Du einer falschen Annahme. Weil diejenigen, die den IE6 immer noch verwenden, tun das nicht deshalb, weil er so super ist. Vor allem nicht jene Firmen, die wegen irgendeiner IE6-Webapp an den IE6 gebunden sind. Sind zwar zum Teil selber schuld, aber zum Teil auch Opfer von MS's verfehlter Politik.

Somit gehören auch die zum Rest der Menschheit, die unter'm IE6 leidet.

und die armen bekommen den support einfach nicht verweigert... was die sich gefallen lassen.

gute nacht kasperl.

Microsoft könnte ja - was absolut Sinn machen täte - von vornherein sagen, dass Support nur mit aktuellem ServicePack (faire Übergangsfrist natürlich inkl., 6-12 Monate) gilt, und dass ServicePacks neue IE-Versionen beinhalten.

Auch andere Firmen supporten ihre Uralt-Produkte nicht ewig, aus guten Gründen, und niemand kritisiert sie dafür. Warum soll's ausgerechnet bei MS verwerflich sein?

Vielleicht hat MS verabsäumt, die Supportbedingungen von vornherein vernünftig festzulegen. Aber Fehler haben sie auf jeden Fall gemacht ... und sie dafür zu kritisieren, ist absolut legitim, und das werde ich auch weiterhin tun.