[HaBo]

Rushjo

Anzeige

Wie heise.de hat Mozilla mit dem Releases eines Updates für Websuite Mozilla und Webbrowser FireFox auf vor kurzem bekannt gewordene Bugs reagiert. Unter anderem werden damit auch der erst heute bekannt gewordene BufferOverflow in der LibPng korrigiert.
Auch bei Opera gab es heute neue Patches, die aber lediglich drei schon länger bekannte Sicherheitslücken wie das "url spoofing" stopfen sollen. Ob Opera auch Probleme mit dem Fehler in der "LibPng" hat, ist dabei noch unbekannt.

Damit ist FireFox momentan als einziger Browser gegen alle bei Ihm bekannt gewordenen Bugs auch gepatcht. Dies kommt ja leider nicht sooft bei anderen Browsern vor.

MfG Rushjo

[1] Quelle "Download FireFox 0.9.3", ftp.mozilla.org (english)
[2] Quelle "BufferOverflow in LibPng", heise.de (deutsch)
[3] Quelle "Security Updates für Mozilla und FireFox", heise.de (deutsch)
[4] Quelle "Security Update für Opera", opera.com (english)
[5] Quelle "Download Websuite Mozilla", mozilla.org (english)

ivegotmail

ja auch die neueste version 7.54 hat problem man manipulierten bilddateien (stürzt ab)
beispieldateien: http://www.graphicsmagick.org/libpng/beta/samples/

__________________
http://livehabo.hackerboard.de | http://livebb.sourceforge.net

chrisi

Netscape schmiert bei den Beispielgraphiken auch ab^^

LG ~chrisi~

Riskman

Wollen wir hoffen, dass es Opera, FireFox & Mozilla irgendwann einmal nicht so geht wie dem MS IE, wo nach und nach sehr viele Sicherheitslücken bekannt geworden sind. Eigentlich sind mir persönlich diese Browser schon wieder viel zu bekannt geworden, sodass ich irgendwann wieder meinen Browser wechseln werde. Aber Gott sei Dank sind die Produkte Opensource und die Opensource-Fraktion hat ja nunmal die "göttliche" Gabe schnell nach dem erscheinen einer Sicherheitslücke die benötigten Patches bereitzustellen.

ivegotmail

opera ist nicht opensource

naja sicherheitslücken werden mit sicherheit noch einige kommen
aber zum glück wird bei diesen browsern wesentlich schneller reagiert als beim IE

__________________
http://livehabo.hackerboard.de | http://livebb.sourceforge.net

DelumaX

IMO bekleckert sich Opera z. Zt. auch nicht mit Ruhm was die Updates angeht... Da lobe ich mir das Mozilla-Team welches sogar 500 $ für die Entdeckung sicherheitskritischer Bugs ausgelobt hat..

beko

Das Problem mit der libpng ist keine Sicherheitslücke dieser Browser sondern der Lib zum Verarbeiten von PNG-Bildern. Die *Wahrscheinlichkeit*, dass dieser Bug genutzt werden kann, wird natürlich durch Web-Browser maximiert, da du damit täglich hunderte von Bildern aus dem Netz ansiehst - und wir wollen nicht wissen was das alles für Bilder sind

BTW: *Ich* finde es viel interessanter, dass der MS IE ebenfalls abstürzt. Hat da etwa jemand heimlich OpenSource verwendet und hält sich nun nicht an die GPL?

Mozilla bekleckert sich z.Zt. ebenfalls nicht gerade mit Ruhm. Neue Releases scheinen zur Zeit prinzipiell erst einmal aus kaputten Tarbälle zu bestehem. Anschließende Kompilierungen arten zu richtigen Abenteuern aus. Wer braucht da noch RL o_0

Edit: Hm, begrabt das mit der GPL mal wieder. Ich sehe gerade, dass libpng unter der "zlib/libpng License" steht. Was diese genau beinhält, lese ich mir gerade durch.

Edit2: The Contributing Authors and Group 42, Inc. specifically permit, without fee, and encourage the use of this source code as a component to supporting the PNG file format in commercial products. If you use this source code in a product, acknowledgment is not required but would be appreciated.

Den Gedankengang, dass hier unrechtmäßiger Code verwendet wird, kann man also begraben. Allerdings bezweifle ich irgendwo ohnehin, dass MS den selben Code nutzt. Zwar crasht er ebenfalls, aber die Implementierung des Formats ist zu lausig, um Originalcode sein zu können