5. September 2008
Da staune ich nicht schlecht, sagt mir doch gerade ein Kunde am Telefon das Google Chrome bereits 3% Marktanteil hat. Ich verneine das damit, das dies so schnell überhaupt nicht möglich sein kann bzw. man sowas technisch gar nicht so schnell erfassen kann. PUSTEKUCHEN! Wenn man bei Google danach sucht, bekommt man einen Haufen News dazu, z.B.:
Fazit:
Wahnsinn und extrem beunruhigend, da Google Chrome eine Beta ist und noch gravierende Sicherheitslücken aufweist! Ich bin mal auf die ersten Meldungen gespannt, die das Schreckensszenario belegen, indem unzählig viele Systeme befallen werden!
1 Kommentar | 
browser, security | 
Permalink
Verfasst von sCp
15. August 2008
Erneut wird darüber berichtet das die Unterstützung von Multimedia-Inhalten im Internet weiterhin ein durchaus ernst zu nehmendes Sicherheitsproblem darstellt. Mittlerweile werden immer öfter manipulierte Video- und/oder Audiodateien ins Internet gestellt. Durch das entsprechende Ausnutzen von Sicherheitslücken und unsicherer Ports/Protokolle sind somit laut einer Studie JAVA, Flash und QuickTime derzeit die Top 3 Quellen für solche Angriffe!
Weitere Informationen gibt es in einen entsprechenden Artikel bei WinFuture.de!
Kommentar schreiben » | 
browser, security | Mit Tag(s) versehen: flash, java, multimedia, qt, quicktime, real, shockwave, smil | 
Permalink
Verfasst von sCp
15. Mai 2008
Der Heise Newsticker berichtet grade über einen neuen Service von Google für uns Web-Entwickler.
Google hat in seinem Entwicklerbereich code.google.com eine Bibliothek für Web-Entwickler eingerichtet. Bei Google Doctype soll eine Enzyklopädie des „offenen Webs“ entstehen, also eine Referenz zu „HTML, JavaScript, CSS, und mehr“. Als Grund, der Masse der Nachschlagewerke für Web-Entwickler ein weiteres hinzuzufügen, gibt Google an, dass die bestehenden Quellen den eigenen Bedürfnissen nicht genau entsprachen. So seien viele der anderen Referenzen „in Stein gemeißelt“, also einmal geschrieben und dann nie aktualisiert worden.
Die Informationen bei Google Doctype dagegen sollen permanent frisch gehalten werden, etwa Browservergleichstabellen. Google hat zum Start schon etliche Informationen bereitgestellt. So finden sich etwa Beispiele zur DOM-Manipulation. Google hofft, dass Benutzer weitere Inhalte beisteuern. Die Inhalte stehen unter einer Creative-Commons-Lizenz. …
2 Kommentare | 
css, faq, html, javascript, php, security, web-design, xhtml | 
Permalink
Verfasst von sCp
25. November 2007
Ein sehr nützlichen Service, habe ich bei Dr. Web im Blog gefunden. Im Artikel htaccess Online Editor wird ein Service präsentiert der es erlaubt ganz bequem .htaccess Dateien mit entsprechenden Passwörtern zu generieren, unter anderem:
Der htaccess Online Editor ist eine gute Idee. Wichtige Einstellungen für Apache-Server können hier beinahe im Vorübergehen angelegt werden. Dazu gehören neben einem Passwortschutz auch Weiterleitungen, Standardseiten, Zugriffbeschränkungen und Fehlerabfangseiten. Das klappte mit den passenden Anleitungen schon immer manuell, Fehler schleichen sich aber gern ein, vor allem wenn man ungeübt ist. Wer sich gar nicht auskennt, lässt aber besser ganz die Finger davon.
Kommentar schreiben » | apache, security, service | Permalink
Verfasst von sCp
19. Oktober 2007
Download
Changelog
- URIs with invalid %-encoding mishandled by Windows
- XPCNativeWrapper pollution using Script object
- Possible file stealing through sftp protocol
- XUL pages can hide the window titlebar
- File input focus stealing vulnerability
- Browser digest authentication request splitting
- onUnload Tailgating
- Crashes with evidence of memory corruption
Update
Der PIXELGANGSTER berichtet über einen neuen Bug der leider mit dieser Version auftritt:
Das neueste Firefox Update auf Version 2.0.0.8 bringt einen Bug mit, der Fehler tritt bei Floats mit negativem Margin auf.
1 Kommentar | browser, security | Permalink
Verfasst von sCp
6. September 2007
heise.de berichtet:
Billy Rios and Nate McFeters, die Entdecker der URI-Lücke im Open-Source-Browser Firefox, haben in ihrem Blog darauf hingewiesen, dass das eigentliche Problem mit der Veröffentlichung von Firefox 2.0.0.6 Ende Juli nicht beseitigt wurde. So wollen sie einen neuen Weg gefunden haben, um über File-Handler und präparierte Pfade trotzdem weitere Anwendungen zu starten.
Allerdings haben die Firefox-Entwickler bereits mit der Veröffentlichung der aktuellen Browserversion deutlich gemacht, dass das Update nur ein Workaround darstellt, um Zeit zu gewinnen und zumindest vor den bekannten Exploits mit %00- oder %-Zeichen zu schützen. Rios und McFeters haben außer einem Screenshot deshalb auch keine genauen Angaben über das neue Problem veröffentlicht, damit die Entwickler in Ruhe an der Behebung des Fehlers arbeiten können. Wann eine überarbeitete Firefox-Version erscheinen wird, ist nicht bekannt.
Die URI-Lücke tritt bei der Behandlung spezieller URLs auf, die bei installiertem Internet Explorer 7 unter Windows XP dazu führen, dass Angreifer beliebige installierte Programme aufrufen können. Dadurch lassen sich mittels manipulierter Links in Webseiten oder E-Mails auch schädliche Aktionen ausführen. Bislang ist allerdings nicht gänzlich geklärt, was die eigentliche Ursache des Problems ist. Unter anderem ist die verwirrende Behandlung von URLs unter Windows Teil des Problems. Auch Skype, Miranda und wahrscheinlich weitere Anwendungen weisen die URI-Lücke auf.
[via]
Kommentar schreiben » | browser, security | Permalink
Verfasst von sCp
15. August 2007
heise.de berichtet:
Die Entwickler des Webbrowsers Opera haben die neue Version 9.23 der Software veröffentlicht, die auch eine kritische Sicherheitslücke bei der Verarbeitung von präpariertem JavaScript schließt, durch die Angreifer beliebigen Code auf den Rechnern von Opfern ausführen können. Die Schwachstelle haben sie mit Hilfe des Fuzzing-Werkzeugs jsfunfuzz von der Mozilla-Foundation entdeckt.
In einer Sicherheitsmeldung erörtern die Opera-Entwickler, dass die kritische JavaScript-Lücke auftreten kann, wenn ein Angreifer einen virtuellen Funktionsaufruf auf einen ungültigen Zeiger startet, der allerdings noch auf vom Angreifer übergebene Daten verweist. Außerdem beheben die Entwickler vier weitere Schwachstellen bei der Verarbeitung von JavaScript, die jedoch lediglich zum Absturz des Browsers führen.
Zusätzlich verbessert das Update die Stabilität der Speed-Dial-Funktion und beseitigt Probleme beim Scrollen durch Webseiten, die unter Windows Vista mit manchen Microsoft-Mäusen auftreten können. Da die Entwickler das Opera-Release als Sicherheitsupdate einordnen, sollten Nutzer des Browsers die neue Version zügig herunterladen und installieren.
Kommentar schreiben » | browser, javascript, security | Permalink
Verfasst von sCp
14. August 2007
winfuture.de berichtet:
Wie der 0×000000 Blog berichtet, ermöglicht ein Fehler in der Javascript-Engine von Firefox den Zugriff auf alle durch die zahlreichen Erweiterungen für den freien Browser angelegten Datenstrukturen und Methoden.
Dies führt zum Beispiel dazu, das ein Angreifer die Liste der geblockten oder erlaubten Websites in AdBlock, oder, was noch problematischer einzustufen ist, die in GMail Checker oder ähnlichen Plug-Ins hinterlegten Login-Daten auslesen und auf seinen Server kopieren könnte. Außerdem können Methoden aus den Plugins aufgerufen werden und somit unvorhergesehene Aktionen durchgeführt oder der Browser zum Absturz gebracht werden.
Diese Angriffe können durchgeführt werden, da viele Firefox-Plugins mit Javascript arbeiten. Die Javascript-Engine des quelloffenen Browsers schützt deren Datenstrukturen aber nicht vor Zugriffen von Javascript-Code der in Webseiten enthalten sein kann. Wie ein Mozillasprecher sagte, untersucht man das Problem bereits, berichten die Kollegen von The Register.
Kommentar schreiben » | browser, javascript, plug-in, security | Permalink
Verfasst von sCp
