Dedies-Board | Druckvorschau: Firefox 1.0.7 geht an den Start

Dedies-Board (https://www.dedies-board.de/wbb2/index.php)
- Sicherheit (https://www.dedies-board.de/wbb2/board.php?boardid=6)
--- Sicherheitsnews (https://www.dedies-board.de/wbb2/board.php?boardid=7)
---- Sicherheitsnews-Archiv (https://www.dedies-board.de/wbb2/board.php?boardid=39)
----- Firefox 1.0.7 geht an den Start (https://www.dedies-board.de/wbb2/thread.php?threadid=861)

Geschrieben von dedie am 21.09.2005 um 18:29:

Achtung

Firefox 1.0.7 geht an den Start

Die neue Release 1.0.7 des beliebten Alternativ-Browsers Firefox stopft eine kritische Lücke in der Linux-Version und bessert weitere Fehler aus. Das Entwickler-Team rät zu einem umgehenden Update auf die neue Version des Browsers und stellt zugleich die englische Fassung bereit.

Durch die neu entdeckte Lücke in den Linux-Versionen des Browsers können beim Programmaufruf von Firefox mit einer URL als Parameter beliebige Befehle auf der Shell ausgeführt werden. Dieses Leck entsteht durch eine fehlerhafte Eingabeprüfung im aufgerufenen Script, wodurch mit "`" in die URL eingebettete Befehle ausgeführt werden. Beispielsweise Mail-Clients rufen Links in E-Mails derartig auf, sodass ein Angreifer mit präparierten Mails Schaden anrichten könnte.

Obendrein fixen die Mozilla-Entwickler die Lücke beim Parsen internationaler Domain-Namen -- also Internetadressen mit Umlauten und anderen internationalen Sonderzeichen --, für die es bisher nur einen Workaround gab.

Bis jetzt findet sich auf den Mozilla-Servern nur die englische Fassung der neuen Release, in Kürze sollte sich aber auch das Download-Verzeichnis für die übersetzten Versionen füllen.

QUELLE

Geschrieben von DerBilk am 22.09.2005 um 13:43:

RE: Firefox 1.0.7 geht an den Start

So, die deutschen Versionen stehen auch zur Verfügung:

Quelle: http://ftp.mozilla.org/pub/mozilla.org/firefox/releases/1.0.7/

Geschrieben von MobyDuck am 23.09.2005 um 18:00:

Für Ubuntu-User steht die deutsche Version inzwischen auch bereit. Installation per apt oder Synaptic.

Bei mir kam es bei der Installation zu Paketkonflikten, vermutlich, weil ich die Vorversion selbst kompiliert und installiert hatte. K.A., was da schief gelaufen ist. Im Ubuntuusers-Forum schlagen auch bereits die ersten Hilferufe ein.

Abhilfe: Habe einfach 1.0.6 deinstalliert und dann 1.0.7 installiert, wie unter Win. Funzt.

Geschrieben von dedie am 23.09.2005 um 18:02:

Zitat:

Habe einfach 1.0.6 deinstalliert und dann 1.0.7 installiert.

Das sollte man auch unter Windows so praktizieren (auch wenn es heißt man braucht es nicht zu tun) Petzauge

Geschrieben von MobyDuck am 23.09.2005 um 19:33:

Jo, ist mir auch gerade aufgefallen, dass ich mich missverständlich ausgedrückt habe. Augen rollen

Mein Edit kreuzte sich mit deiner schnellen Antwort. Winken

Nächstes Edit:
Bei Ubuntuusers wird ne richtig nette Diskussion draus.
http://www.ubuntuusers.de/viewtopic.php?p=83237#83237