Nachdem Mischa Spiegelmock und Andrew Wbeelsoi auf der Hacker-Konferenz ToorCon 2006 über einen schwerwiegenden Fehler im Firefox berichteten, versucht die Entwicklergemeinde diesen nun zu lokalisieren oder zumindest zu bestätigen.

Die beiden hatten während ihres Vortrages auf der Konferenz einen scheinbar schwerwiegenden Fehler in der Implementation von JavaScript im Firefox präsentiert der einem Angreifer die Möglichkeit bieten soll, beliebigen Code in das Zielsystem einzuschleusen und zur Ausführung zu bringen. Allein der Aufruf einer entsprechend präparierten WebSite soll dies ermöglichen. Details über diesen und angeblich weitere 30 schwerwiegende Fehler wollten die Vortragenden jedoch nicht preisgeben. Bei Bugzilla findet man die betreffenden Slides aus der Präsentation.

Bestätigen konnte die Existenz eines derartigen Fehlers noch niemand, es scheint sich wohl um ein älteres Problem zu handeln, welches den Browser durch die Erzeugung überlanger Zeichenketten abstürzen lässt. Zudem hat Mischa Spiegelmock, nach diversen Hinweisen ein Mitarbeiter von Six Apart, inzwischen ein Statement veröffentlicht, in dem er den ganzen Vortrag als einen Scherz bezeichnet.

„The main purpose of our talk was to be humorous.„

Trotz allem wird weiterhin nach möglichen Fehlern gesucht, derzeit sicherlich etwas intensiver als es ohnehin permanent der Fall sein dürfte. Wer kein Vertrauen in JavaScript hat, sollte sich zur Beruhigung der Nerven die Erweiterung NoScript installieren. Diese ist in der Lage, JavaScript zu deaktivieren und nur für vereinzelte, vertrauenswürdige Seiten zuzulassen.

Secureident hat ein Problem im Firefox bei der Ausführung von Javascript entdeckt und veröffentlicht, wie heise berichtet. In einem Proof of Concept veröffentlicht Securident einen Beispielcode, der den Browser abstürzen lässt.

Ein Update für den Firefox ist bislang nicht verfügbar, aktuell ist es ratsam, bspw. die Extension NoScript zu installieren oder Javascript komplett zu deaktivieren, damit lässt sich das Problem vermeiden.

Vor einigen Stunden wurde die Version 1.5.0.2 des Firefox-Browsers in verschiedenen Sprachen veröffentlicht. Über die Funktion „Firefox aktualisieren“ kann sie bereits installiert werden, auch wenn der Browser (noch) nicht von sich aus auf eine aktualisierte Version hinweist (zumindest bei mir nicht).

Die Änderungen beinhalten Security-Updates, aber auch einige Stabilitätsprobleme sollen beseitigt sein. Ich hoffe, meine regelmäßigen Crashes in letzter Zeit, die auf manchen Seiten auftreten, gehören nun auch der Vergangenheit an. (Allerdings ist mir bislang noch nicht klar, ob die Crashes nicht doch von irgendeinem installierten Plugin verursacht werden)

Die contenschmiede berichtet über Performancing, einem Plugin für den Firefox. Dieses ermöglicht es, direkt aus dem Browser heraus Blogeinträge zu verfassen und zu bearbeiten. Es unterstützt dabei die wichtigsten Weblog-Systeme wie WordPress, MovableType, Drupal, Textpattern, Roller, Blogger und MetaWeblog.

Die Integration ist elegant gelöst: F8 gedrückt und innerhalb des Browserfensters öffnet sich das Fenster von Performancing und man kann über die soeben gefundene Seite berichten. Diese bleibt weiterhin geöffnet und man hat sie so beim schreiben jederzeit im Blick. Soweit ziemlich praktisch und m.E. sehr elegant umgesetzt.

Leider fehlen für meine Bedürftnisse 2 wichtige Funktionen: der Datei-Upload und die Möglichkeit, den Artikel mit Tags zu versehen. Letzteres realisiere ich hier mit einem WordPress-Plugin, dass dieses nicht direkt unterstützt werden kann, ist durchaus verständlich. Dass jedoch der Datei-Upload, welcher ein Standard-Feature von WordPress ist, nicht unterstützt wird ist in meinen Augen ein Versäumnis. Das Fehlen dieser beiden Funktion verhindert, dass ich Performancing in Zukunft als Ersatz für die WordPress-Oberfläche benutze, auch wenn es mir von der Idee und der Umsetzung her wirklich sehr gut gefällt. Aber vielleicht werde ich es nutzen, um mal eben schnell einen Entwurf für einen Beitrag zu erstellen, den ich später fertigstellen will…

(Dieser Beitrag wurde im übrigen mit Performancing verfasst.)