An alle Benutzer des FireFox mal eine Warnung, damit man nicht auf Cross Site Scripts hereinfällt, die derzeit noch durch eine Schwachstelle im Protokoll Handler.jar möglich sind – diese ermöglicht einen Zugriff auf die Java Archive.
Zum Beispiel öffner jar:http://example.com/test.jar!/t.htm das File t.html aus der example.com im test.jar-Archiv und ermöglicht so ein Umgehen der Java Filter. Wenn man nun ein manipuliertes JAR Archiv auf einem Server aufruft – Hallo Spam & Co – kann der Cracker ohne Probleme ein XSS ausführen. Also in nächster Zeit etwas aufpassen, bis der Patch raus ist, auf welche Links man klickt und alles 3mal prüfen.
|
| |
 |
:: Subbotnik
:: Beiträge 9414:: 200.32 Talkpoints ::  |
|
|
|
|
| |
| |
| |
|
Danke für den Hinweis!
Wann wirds denn einen Patch als Update geben? Ich hoffe Mozilla findet da schnell eine Lösung - sowas kann ganz schön gefährlich werden.
|
| |
 |
:: .:d2k
:: Beiträge 583:: 51.22 Talkpoints |
|
|
| |
| |
| |
|
Werde bei mir direkt mal Java deaktivieren und warten bis ein Patch rauskommt.
|
| |
|
:: Killyouridols
:: Beiträge 463:: 11.42 Talkpoints |
|
|
| |
| |
| |
|
Sory ich weiß da nicht so bescheid. Was kann denn schlimmstenfalls passieren?
Mfg, der Ch4tter
|
| |
 |
:: Ch4tter
:: Beiträge 49:: 0.03 Talkpoints |
|
|
| |
| |
| |
|
| Zitat: |
|
Was kann denn schlimmstenfalls passieren?
|
Es kann eine kleine Java-Anwendung gestartet werden, die parallel zum Browser läuft und auf Webseiten eingegebene Daten nicht an das bestimme Ziel sondern an den Betrüger weiterleitet.
Also kann dein PayPal-Passwort ganz schnell woanders landen. Was das für Folgen hat, kann man sich wohl denken...
|
| |
 |
:: tskowron
:: Beiträge 43:: 13.79 Talkpoints |
|
|
| |
| |
| |
|
Es kann sein, dass Hacker den Schutz der JavaScript-Funktionen auf verschiedenen Seiten dadurch umgehen können und somit an sensible Benutzerdaten wie Name und Passwort gelangen könnten. Soweit ich gelesen habe wird das Problem erst mit dem Update auf Version 2.0.0.10 gelöst werden.
Bis dahin sollte man entweder JavaScript deaktivieren oder das Firefox Add-On  NoScript verwenden.
EDIT: OK, da war tskowron wohl etwas schneller.
|
| |
|
:: derT
:: Beiträge 188:: 0.00 Talkpoints |
|
|
| |
| |
| |
|
jetzt anmelden
