1.8k Aufrufe
Gefragt in Internet Browser von redcloud100 Mitglied (429 Punkte)
Hallo,
Kaspersky Internet Security behauptet in der Schwachstellensuche, Firefox sei ein anfälliges Programm und zeigt dann in dem Browser eine Seite mit vielen Schwächen, die ein Angreifer nutzen kann. Was soll man tun? Welcher Browser ist überhaupt sicher? Ich habe die neueste Firefox-Version.
Gruß redcloud100

9 Antworten

0 Punkte
Beantwortet von
wird der browser angemeckert oder (nicht aktuelle) plugins?

einen sicheren browser gibt es nicht. ie, chrome und firefox schenken sich recht wenig www.cvedetails.com/top-50-products.php?year=2015.
plugins kann man einsetzten, um die sicherheit zu erhöhen, plugins sind manchmal auch fehlerhaft und verschlimmern die situation nur noch.

du könntest den browser in einer sandbox laufen lassen www.sandboxie.com/.
0 Punkte
Beantwortet von
Hallo, mag sein, aber hier gibst du keine Infos zum System und der Version, 45.0.1?
Dann gibt es noch die Frage, wo hast du den Firefox gezogen, mozilla.org oder doch web.de.
...eine Seite mit vielen Schwächen...
Der ist aber gut:-D
Du konntest ja welche auflisten, damit man weiß was du überhaupt meinst.

Gruß
0 Punkte
Beantwortet von redcloud100 Mitglied (429 Punkte)
Hallo, hier die Liste der Schwachstellen

Below is a complete list of vulnerabilities

Multiple memory safety bugs at browser engine can be exploited remotely to cause denial of service and possibly execute arbitrary code;
Lack of report URI restrictions at Content Security Policy (CSP) violation reports can be exploited remotely via a specially designed page to overwrite arbitrary file;
Lack of specification restrictions implementation at CSP violation reports can be exploited remotely to obtain sensitive information;
Improper memory handling can be exploited remotely via a specially designed WebGL operations to cause denial of service; (Linux)
Memory leak at libstagefright can be exploited remotely via a specially designed MPEG4 video;
An unknown vulnerability can be exploited remotely via a specially designed JavaScript to spoof user interface;
An unknown vulnerability at Clients API in Service Workers can be exploited to cause denial of service or possibly execute arbitrary code;
Use-after-free vulnerability at HTML5 string parser can be exploited remotely via a specially designed content to cause denial of service or possibly execute arbitrary code;
Use-after-free vulnerability at HTMLDocument can be exploited remotely via a specially designed content to cause denial of service or execute arbitrary code;
Use-after-free vulnerability at WebRTC can be exploited remotely to cause denial of service or execute arbitrary code;
An unknown vulnerability at FileReader API can be exploited locally via files manipulation to cause denial of service or gain privileges;
Use-after-free vulnerability at XML transformation can be exploited remotely via a specially designed web content;
An unknown vulnerability can be exploited remotely via sites navigation manipulations to spoof user interface;
An unknown vulnerability can be exploited remotely via a specially designed redirect to bypass security restrictions;
Pointer underflow at Brotli can be exploited remotely to cause denial of service or execute arbitrary code;
An improper pointer dereference at NPAPI can be exploited remotely via a specially designed plugin in concert with specially designed web content to cause denial of service or execute arbitrary code;
An integer underflow at WebRTC possibly can be exploited remotely via a specially designed web content to cause denial of service or execute arbitrary code;
Missing status check at WebRTC potentially can be exploited remotely via a specially designed web content to cause denial of service or execute arbitrary code; (Windows)
Multiple race conditions at WebRTC potentially can be exploited remotely via a specially designed web content to cause denial of service or execute arbitrary code;
Deleted pointers usage at WebRTC potentially can be exploited remotely via a specially designed web content to cause denial of service or execute arbitrary code;
A race condition at LibVPX potentially can be exploited remotely via a specially designed web content to cause denial of service or execute arbitrary code;
Use-after-free vulnerability at WebRTC can be exploited remotely via a specially designed web content to cause denial of service or possibly execute arbitrary code;
Out-of-bounds vulnerability at HTML parser can be exploited remotely via a specially unicode strings or XML and SVG content to cause denial of service or possibly execute arbitrary code;
Buffer overflow at obsolete version of Network Security Service (NSS) can be exploited remotely via a specially designed certificate to cause denial of service or execute arbitrary code;
Use-after-free vulnerability at obsolete version of NSS can be exploited remotely via a specially designed key to cause denial of service;
Multiple uninitialized memory usages, out-of-bounds read, out-of-bounds write and other unknown vulnerabilities can be exploited remotely to cause denial of service or possibly execute arbitrary code.

Technical details

Vulnerability (1) related to js/src/jit/arm/Assembler-arm.cpp and other unknown vectors.

Vulnerability (2) related to nsCSPContext::SendReports function in dom/security/nsCSPContext.cpp which does not prevent non-HTTP report-URI for a CSP violation report. This vulnerability can be triggered if user has disabled add-on signing and has installed unpacked add-on.

Vulnerability (3) caused by storing full path information for cross-origin iframe navigations.

Vulnerability (4) can be exploited via performing WebGL operations in a canvas requiring an unusually large amount buffer to be allocated. This vulnerability can be exploited on Linux with Intel video driver used. If vulnerability exploited successfully it will be required to reboot computer to return functionality.

Vulnerability (5) can be exploited via video which triggers a delete operation on an array.

Vulnerability (6) related to browser/base/content/browser.js which allows spoof address bar via jsvscropt: URL.

Vulnerability (8) can be exploited via content triggers mishandling of end tags. This vulnerability related to nsHtml5TreeBuilder.

Vulnerability (9) can be exploited via content triggers mishandling of root element, This vulnerability related to nsHTMLDocument::SetBody function in dom/html/nsHTMLDocument.cpp

Vulnerability (10) can be exploited via leveraging mishandling of WebRTC data-channel connection.

Vulnerability (11) can be exploited via files modification during FileReader API read operation.

Vulnerability (12) related to AtomicBaseIncDec function.

Vulnerability (13) can be exploited via navigation sequences which involve returning back. If user returns to original page displayed URL will not reflect reloaded page location.

Vulnerability (14) related to already fixed bug CVE-2015-7207. It was discovered that history navigation in restored browser session still allow same attack.

Vulnerability (16) related to nsNPObjWrapper::GetNewOrUsed function in dom/plugins/base/nsJSNPRuntime.cpp

Vulnerability (17) related to srtp_unprotect function.

Vulnerability (18) related to I420VideoFrame::CreateFrame function on Windows.

Vulnerability (19) related to dom/media/systemservices/CamerasChild.cpp

Vulnerability (20) related to DesktopDisplayDevice class.

Vulnerability (22) related to GetStaticInstance function.

Vulnerability (23) related to nsScannerString::AppendUnicodeTo function which does not verify success of memory allocation.

Vulnerability (24) related to vulnerability in NSS versions earlier than 3.19.2.3 and 3.20 versions earlier than 3.21. This vulnerability can be exploited remotely via a specially designed ASN.1 data in X.509 certificate.

Vulnerability (25) related to PK11_ImportDERPrivateKeyInfoAndReturnKey function. This vulnerability can be exploited via a key with DER encoded data.

Vulnerability (26) related to multiple different vulnerabilities in code which c

Gruß redcloud100
0 Punkte
Beantwortet von redcloud100 Mitglied (429 Punkte)
Hallo,
ich habe die Version 45.0.1 von Mozilla runrtergeladen, wurde auch ohne Zusätze sauber installiert.
Gruß redcloud100
0 Punkte
Beantwortet von redcloud100 Mitglied (429 Punkte)
Hallo,
ich habe eben in win 10 die Schwachstellensuche von Kaspersky Internet Security laufen lassen und hier wird die gleiche Firefox-Version 45.0.1 nicht angemeckert. Für mich einfach unverständlich.
Gruß redcloud100
0 Punkte
Beantwortet von
Wow, jetzt hast du mir aber gegeben, ein paar, hehe:-D
Aber, dass du irgendein Linux hast, kann man aus dem Bericht erfahren, du hast es immer noch nicht....
Ahh ja, die Antwort 5 vielleicht?
uname -a sagt es dir ganz genau.
Was hast du denn, den "Pfefferminz" oder was?
Für mich ist der Bericht eher für die Entwickler die den Firefox Linux tauglich gemacht haben.
Je nach Distribution war es beispielsweise der Iceweasel der Standardbrowser, den Firefox musste man da einfrimmeln.
Also nicht über die Standardroutine, die Paketverwaltung, apt-get etc..
Schwachstellen hat fast jeder Browser.
Dinge wie der Flash Player, also Plugins und ähnliches.
Was im Einzelnen die mit dem Bericht meinen, kannst du auf der Kaspersky Seite finden, Support oder das Forum.
Aus dem Bericht...:
Vulnerability (26) related to multiple different vulnerabilities in code which c
mit code xyz?

Was für Unterschiede zwischen Linux und Windows es gibt, kannst du einfach überprüfen.
Und zwar in dem du in der Adressleiste vom Firefox:
[*] about:plugins
[*] about:addons
auf beiden eingibst.
[*] about:about - die ganze Baggage
0 Punkte
Beantwortet von
Obwohl dieser ganze Bericht ist wie...
"Hätte Oma einen Bart, dann wäre sie Opa"
zumindest für mich.
0 Punkte
Beantwortet von redcloud100 Mitglied (429 Punkte)
Hallo,
Fazit für mich: Einfach alles unverständlich! Schade um die Zeit, die man damit verschwendet.
Gruß redcloud100
0 Punkte
Beantwortet von
Unfair ,

weil a ) nicht direkt drauf hingewiesen wurde welches Betriebsystem .,
und damit so als wäre es von einer Person geschrieben worden .

Unfair auch weil unter Android 4.4 ich zumidest mit dem ( Linux mit Java Ausatz) es nicht geschafft hatte FF überhaupt meiner Ansicht nach zufriedenstellend zu nutzen. > @6 ..."Für mich ist der Bericht eher für die Entwickler die den Firefox Linux tauglich gemacht haben.".

Also weis ich echt nicht was das überhaupt soll , denn darf ich @ 3 als Ausrede dafür nutzen , das diese die " Schawchstellen " unter den FF bei Android 4.4 darstellen sollen und ich sowieso nie einen Hauch einer Chance gehabt hätte diesen normal zu nutzen ?

Man darf sowieso an den Empfelungen zweifeln , den diese taugen eh nix , den meistens sind es Versionen die erst freigeschaltet werden müssen , und wenn man eine ältere Version einer App hat wird die eh nicht geupdatet , weil es z.B. von einem Backup ist das zwar funktoiniert , aber das angebliche Update nicht initialiesert werden kann. Wenn idese Meldungen was wert gewesen wären hätte ich dieses Update als .apk auf dem Tablet , aber NEIN alles Fake und sehr ärgelich . Bin sehr unzufrieden was die kompatibilität von Android betrifft . Die Versionene sind so unterschiedlich das die allgemenie Funktion nicht unbedingt bis ins kleinste Detail zutrifft , und wenn es das Rechte Managment betrifft , sonst wüste ich nicht warum sich hier sowas breit macht.

Entweder ihr macht as dafür das das aufhört , klärt die Leute richtig auf , aber hört auf zu nörgeln .

Das ich selber soweit bin ist schon alleine dem unterschiedlichem Browserverhalten zu verdanken wo ich angeblich mit Safarie im eMail Fach bin aber es nicht angezeigt bekomme , das man meint es wäre ein Pishing was auch immer Bertrug , da muss man erstmal drauf kommen das man nur Google Browser nutzen kann . Da wird man als PC User total Verarscht , dann soll ich noch auf FF vertrauen ... , das wird dann einem echt zuviel , wo noch nicht mal korrekte Werbung in Google gemacht wird , und da heist es vom
" Geschäftlichen " her ohne Werbung NIX gratis - aber sooo.

Ein Dreck interessiert es einen dann noch , wenn ihr mich versteht was ich meine. Denn was zuviel ist zuviel.

kommt al
...