Es handelt sich bei diesem Update um ein vorgezogenes Sicherheitsrelease.

Diesmal wurde insbesondere eine kritische Sicherheitslücke behoben.

Deshalb empfehle ich, möglichst schnell auf Firefox 3.6.2 zu aktualisieren.

Mozilla informiert wie folgt darüber, was am Firefox 3.6.2 neu ist:

Firefox 3.6.2 behebt folgende Probleme, die in vorhergehenden Versionen von Firefox 3.6 gefunden wurden:

• Eine kritische Sicherheitslücke wurde behoben, die potenziell das Ausführen von fremdem Programmcode ermöglichte (siehe Bug 552216).
• Mehrere andere Sicherheitslücken wurden behoben.
• Mehrere Stabilitätsprobleme wurden behoben.

Bitte lesen Sie die vollständige Liste der Änderungen in dieser Version. Möglicherweise interessieren Sie auch die Versionshinweise von Firefox 3.6, die eine Liste der Änderungen in der vorigen Version enthalten.

Auch dieses Update wird automatisch angeboten und installiert.

Bei mir wurden die Firefox-Addons Firefox Accessibility Extension und Juicy Studio Accessibility Toolbar wegen fehlender Kompatibilität leider automatisch deaktiviert. Ich hoffe sehr, dass für diese Addons bald Aktualisierungen erscheinen, die dann auch mit dem Firefox 3.6.2 laufen.

Kommentare

• 26. März 2010, Piet schreibt: Gestern kam bei mir die Meldung, dass nun die neuere Version des Firefox erhältlich ist. Eigentlich weiß man nie genau, was nun alles verbessert oder gesichert wurde, deswegen gibt es bei dem ersten Start des Browsers eine Internetseite mit allen Informationen. Diese habe ich mir aber ehrlich gesagt noch nicht durchgelesen, Hauptsache Firefox funktioniert.
• 26. März 2010, Dieter schreibt: @Piet Du kannst jederzeit auf den Webseiten von Mozilla nachsehen, welche Änderungen mit einer neuen Version des Firefox verbunden sind. Zudem gibt es beim Erscheinen neuer Versionen regelmäßig entsprechende Artikel bei heise.de und golem.de. Es liegt also an Dir, ob Du vor einem Update weißt, was eine neue Version des Firefox an Neuerungen mitbringt.
• 27. März 2010, Name-gelöscht schreibt: Ich lasse grundsätzlich die Finger von neuen Versionen. Nicht nur aus oben genannten Gründen (fast immer werden erst einmal die Sicherheitslücken mitgebracht), da es meist einiges an Zeit dauert, bis alle von mir benutzte Add-Ons unterstützt werden. Meine Frau hat das Update gemacht und bei ihr funktioniert jetzt RoboForm nicht mehr. Genau aus solchen Gründen warte ich meist, bis alle nachgezogen haben.
• 27. März 2010, Dieter schreibt: Häufig werden mit Updates vom Firefox (auch) Sicherheitslücken geschlossen. Je nach geschlossener Sicherheitslücke nehme ich es da lieber in Kauf, dass mal ein Addon oder auch mehrere Addons erst einmal deaktiviert werden. Für das Addon Firefox Accessibility Extension ist übrigens inzwischen ein Update erschienen, so dass es nun auch mit dem Firefox 3.6.2 läuft. Wenn Du lieber die kritische Sicherheitslücke offen lässt, also weder den Firefox auf Version 3.6.2 aktualisierst noch einen anderen Browser ohne diese Sicherheitslücke nutzt, ist Dir halt nicht zu helfen.
• 27. März 2010, Name-gelöscht schreibt: Vielleicht habe ich mich falsch ausgedrückt, ich bleibe lieber vorerst bei 3.5. Hier sind schon einige Updates vorhanden.
• 27. März 2010, Dieter schreibt: Ja, dass Du derzeit Firefox in der Version 3.5 einsetzt, hast Du noch nicht gesagt. Anscheinend ist zum schnellen Schließen der als kritisch eingestuften Sicherheitslücke lediglich das Update auf den Firefox 3.6.2 vorgezogen worden. Für die Version 3.5.x erfolgt das Update auf Version 3.5.9 mit der Schließung der kritischen Sicherheitslücke wohl unverändert erst zum 30. März 2010(siehe Wikipedia-Artikel zum Firefox).

Ähnliche Beiträge

• Update auf Firefox 3.6.3 empfohlen!
• Firefox 3.5.1 steht zum Download bereit
• Firefox 3.5.2 steht zum Download bereit
• Firefox 3.5.3 steht zum Download bereit
• Firefox Update 3.0.5 schließt mehrere Sicherheitslücken

Permalink | 6 Kommentare | Seite speichern bei Twitter | Mister Wong | del.icio.us | Y!GG | Linkarena
Schlagwörter: Browser, Firefox, Sicherheitslücken, Stabilitätsprobleme

Mozilla informiert wie folgt darüber, was am Firefox 3.5.6 neu ist:

Firefox 3.5.6 behebt folgende Probleme:

• Mehrere Sicherheitslücken.
• Mehrere Stabilitätsprobleme.

Bitte lesen Sie die vollständige Liste der Änderungen in dieser Version. Möglicherweise interessieren Sie auch die Versionshinweise von Firefox 3.5.5, die eine Liste der Änderungen in der vorigen Version enthalten.

Auch dieses Update wird automatisch angeboten und installiert.

Ergänzend wie bereits zum Firefox 3.5.1, 3.5.2, 3.5.3, 3.5.4 und 3.5.5 (siehe hierzu meine Blogbeiträge “Firefox 3.5.1 steht zum Download bereit“, “Firefox 3.5.2 steht zum Download bereit“, “Firefox 3.5.3 steht zum Download bereit“, “Firefox 3.5.4 steht zum Download bereit” und “Firefox 3.5.5 steht zum Download bereit“) noch folgende Hinweise:

• Inzwischen funktionieren die meisten Firefox-Addons auch mit dem Browser Firefox 3.5 und höher (siehe hierzu auch meinen Blogbeitrag “Firefox 3.5 steht zum Download bereit“).
• Der Firefox 3.5 und höher ist gegenüber den früheren Versionen deutlich schneller und läuft stabiler. Eine Aktualisierung auf die neueste Version dürfte sich deshalb im Regelfall empfehlen.
• Inzwischen ist schon die Beta 4 des Firefox 3.6 bereits veröffentlicht worden (siehe hierzu auch die Meldung “Vierte Beta von Firefox 3.6 veröffentlicht” bei golem.de). Ich bin gespannt, ob die endgültige Version des Firefox 3.6 tatsächlich noch im Dezember 2009 veröffentlicht wird.

Abschließend sei erneut auf meinen Blogbeitrag “Sicherheitslücken: Internet Explorer besonders gefährdet” hingewiesen.

Kommentare

• 3. Dezember 2011, Firefox 3.5.7 steht zum Download bereit | Webseiten-Infos.de schreibt: [...] steht zum Download bereit“, “Firefox 3.5.5 steht zum Download bereit” und “Firefox 3.5.6 steht zum Download bereit“) noch folgende [...]

Ähnliche Beiträge

• Firefox 3.5.3 steht zum Download bereit
• Firefox 3.5.5 steht zum Download bereit
• Firefox 3.5.2 steht zum Download bereit
• Firefox 3.5.4 steht zum Download bereit
• Firefox 3.5.7 steht zum Download bereit

Permalink | Ein Kommentar | Seite speichern bei Twitter | Mister Wong | del.icio.us | Y!GG | Linkarena
Schlagwörter: Browser, Firefox, Sicherheitslücken, Stabilitätsprobleme, Update

Mozilla informiert wie folgt darüber, was am Firefox 3.5.5 neu ist:

Firefox 3.5.5 behebt folgende Probleme:
* Mehrere Stabilitätsprobleme.
Bitte lesen Sie die vollständige Liste der Änderungen in dieser Version. Möglicherweise interessieren Sie auch die Versionshinweise von Firefox 3.5.4, die eine Liste der Änderungen in der vorigen Version enthalten.

Auch dieses Update wird automatisch angeboten und installiert.

Ergänzend wie bereits zum Firefox 3.5.1, 3.5.2, 3.5.3 und 3.5.4 (siehe hierzu meine Blogbeiträge “Firefox 3.5.1 steht zum Download bereit“, “Firefox 3.5.2 steht zum Download bereit“, “Firefox 3.5.3 steht zum Download bereit” und “Firefox 3.5.4 steht zum Download bereit“) noch folgende Hinweise:

• Inzwischen funktionieren die meisten Firefox-Addons auch mit dem Browser Firefox 3.5 und höher (siehe hierzu auch meinen Blogbeitrag “Firefox 3.5 steht zum Download bereit“).
• Der Firefox 3.5 und höher ist gegenüber den früheren Versionen deutlich schneller und läuft stabiler. Eine Aktualisierung auf die neueste Version dürfte sich deshalb im Regelfall empfehlen.
• Die Beta 1 des Firefox 3.6 ist bereits veröffentlicht worden. Die endgültige Version des Firefox 3.6 dürfte im Dezember 2009 veröffentlicht werden.

Abschließend sei erneut auf meinen Blogbeitrag “Sicherheitslücken: Internet Explorer besonders gefährdet” hingewiesen.

Ähnliche Beiträge

• Firefox 3.5.3 steht zum Download bereit
• Firefox 3.5.2 steht zum Download bereit
• Firefox 3.5.6 steht zum Download bereit
• Firefox 3.5.4 steht zum Download bereit
• Firefox 3.5.7 steht zum Download bereit

Permalink | Kein Kommentar | Seite speichern bei Twitter | Mister Wong | del.icio.us | Y!GG | Linkarena
Schlagwörter: Browser, Firefox, Sicherheitslücken, Stabilitätsprobleme, Update

Mozilla informiert wie folgt darüber, was am Firefox 3.5.4 neu ist:

Firefox 3.5.4 behebt folgende Probleme:

• Mehrere Sicherheitslücken.
• Mehrere Stabilitätsprobleme.
• Die Möglichkeit, Absturzmeldungen neu zu senden, wurde hinzugefügt (Bug 378528).
• Wenn die Funktion “Neueste Chronik löschen” verwendet wurde, wurden anschließend auf einigen SSL-Seiten nicht mehr alle Bilder und Webseiten-Stile geladen, bis die Seite neu geladen wurde (Bug 480619).

Bitte lesen Sie die vollständige Liste der Änderungen in dieser Version. Möglicherweise interessieren Sie auch die Versionshinweise von Firefox 3.5.3, die eine Liste der Änderungen in der vorigen Version enthalten.

Auch dieses Update wird automatisch angeboten und installiert.

Ergänzend wie bereits zum Firefox 3.5.1, 3.5.2 und 3.5.3 (siehe hierzu meine Blogbeiträge “Firefox 3.5.1 steht zum Download bereit“, “Firefox 3.5.2 steht zum Download bereit” und “Firefox 3.5.3 steht zum Download bereit“) noch folgende Hinweise:

• Inzwischen funktionieren die meisten Firefox-Addons auch mit dem Browser Firefox 3.5 und höher (siehe hierzu auch meinen Blogbeitrag “Firefox 3.5 steht zum Download bereit“).
• Der Firefox 3.5 und höher ist gegenüber den früheren Versionen deutlich schneller und läuft stabiler. Eine Aktualisierung auf die neueste Version dürfte sich deshalb im Regelfall empfehlen.

Abschließend sei noch auf meinen Blogbeitrag “Sicherheitslücken: Internet Explorer besonders gefährdet” hingewiesen.

Kommentare

• 1. November 2009, Alex L. schreibt: Ich hatte das Auto-Update genutzt und ich hoffe, dass mein FF mit immer wieder ca. 30 geöffneten Tabs nicht immer wieder abstürzt. Arbeite gerne mit vielen offenen Tabs, wo ich hin und her scrolle. Festgestellt habe ich, dass FF 3.5.4 abstürzt, wenn ich etwa noch nebenbei Online-TV im Browser oder eben Online-Videos anschaue. Wenn ich mich verklicke, und sage ich mal so, neben einem Linkverweis klicke, weil ich es schnell haben will. Dann kommt es auch vor, dass der Browser abstürzt. Egal, Hauptsache, dass die Sicherheitslücken geschlossen sind und der Browser nicht zu langsam wird.
• 1. November 2009, Dieter schreibt: @Alex Der Firefox läuft bei mir seit der Version 3.5 deutlich stabiler und stürzt nur noch äußerst selten ab. Allerdings betreibe ich auch nicht eine solche Extremnutzung wie Du. 15 bis 20 offene Tabs sind bei mir in der Regel das Maximum. Das schnelle Schließen von Sicherheitslücken zeichnet erfreulicherweise stark verbreitete Open-Source-Projekte wie Firefox (siehe hierzu meinen Blogbeitrag "Sicherheitslücken: Internet Explorer besonders gefährdet") und WordPress aus. Und bezüglich der Geschwindigkeit hat der Firefox 3.5.x gegenüber den Vorversionen deutlich zugelegt (siehe hierzu beispielsweise den Spiegelartikel "Neue Version 3.5 - Firefox wird erwachsen - 3. Teil: Alles wird schneller - aber nicht am schnellsten"). :freu:
• 19. November 2009, Alex L. schreibt: Hallo Dieter, um solche Abstürze zu minimieren, muss ich eben alle Tabs so schnell es geht abarbeiten, da es sich dabei meistens um neue Bloglinks oder zukünftige Aufgaben handelt. So wächst diese Tab-Sammlung zum Abend locker auf 40 Stk. Aber das bekomme ich schon hin. Es ist der Tat so, ich kann mich auch gut entsinnen, dass der neue FF im Vergleich zu FF 2+ um einiges fixer agiert. Was anderes erwarten wir von FF glaube ich nicht mehr oder? :) Demnächst soll ja FF 3.6 erscheinen und da bin ich auch gespannt, ob und wie es mit vielen offenen Tabs aufnehmen kann. Sorry für so eine verspätete Antwort :(
• 19. November 2009, Dieter schreibt: Hallo Alex, finde ich bewundernswert wie intensiv Du Deinen Firefox nutzt. Erfreulicherweise gibt es ja die Wiederherstellungsfunktion bei einem Absturz. Bei mir funktioniert die jedenfalls problemlos. Gruß Dieter

Ähnliche Beiträge

• Firefox 3.5.3 steht zum Download bereit
• Firefox 3.5.5 steht zum Download bereit
• Firefox 3.5.2 steht zum Download bereit
• Firefox 3.5.6 steht zum Download bereit
• Firefox 3.5.7 steht zum Download bereit

Permalink | 4 Kommentare | Seite speichern bei Twitter | Mister Wong | del.icio.us | Y!GG | Linkarena
Schlagwörter: Absturzmeldung, Browser, Firefox, Sicherheitslücken, SSL, Stabilitätsprobleme, Update

Mozilla informiert wie folgt darüber, was am Firefox 3.5.3 neu ist:

Firefox 3.5.3 behebt folgende Probleme:

• Mehrere Sicherheitslücken.
• Mehrere Stabilitätsprobleme.

Bitte lesen Sie die vollständige Liste der Änderungen in dieser Version. Möglicherweise interessieren Sie auch die Versionshinweise von Firefox 3.5.2, die eine Liste der Änderungen in der vorigen Version enthalten.

Auch dieses Update wird automatisch angeboten und installiert.

Ergänzend wie bereits zum Firefox 3.5.1 und 3.5.2 (siehe hierzu meine Blogbeiträge “Firefox 3.5.1 steht zum Download bereit” und “Firefox 3.5.2 steht zum Download bereit“) noch folgende Hinweise:

• Inzwischen funktionieren die meisten Firefox-Addons auch mit dem Browser Firefox 3.5 und höher (siehe hierzu auch meinen Blogbeitrag “Firefox 3.5 steht zum Download bereit“).
• Der Firefox 3.5 und höher ist gegenüber den früheren Versionen deutlich schneller und läuft stabiler. Eine Aktualisierung auf die neueste Version dürfte sich deshalb im Regelfall empfehlen.

Ähnliche Beiträge

• Firefox 3.5.5 steht zum Download bereit
• Firefox 3.5.2 steht zum Download bereit
• Firefox 3.5.6 steht zum Download bereit
• Firefox 3.5.4 steht zum Download bereit
• Firefox 3.5.7 steht zum Download bereit

Permalink | Kein Kommentar | Seite speichern bei Twitter | Mister Wong | del.icio.us | Y!GG | Linkarena
Schlagwörter: Browser, Firefox, Sicherheitslücken, Stabilitätsprobleme, Update

Angesichts der aktuellen Sicherheitsdiskussion wegen eines Wurmangriffs auf nicht aktualisierte WordPress-Installationen (siehe hierzu meine Blogbeiträge “Angriffe auf alte WordPress-Installationen” und “WordPress: Wider dem Katastrophen-Gerede“) ein wohl passender Beitrag zur Versachlichung der Diskussion.

Einige der Mythen kannte ich noch nicht. Da ich nicht programmiere, kann ich den Wahrheitsgehalt der Aussagen zu den Web-Security-Mythen 5. bis 10. nicht selbst beurteilen. Sie klingen für mich aber plausibel.

Hier nur als Appetithappen die zehn Web-Securtiy-Mythen im Überblick:

1. Statische Webseiten sind sicher
2. Meine Webseiten sind für Angreifer nicht interessant
3. HTTP-Authentifizierungen sind sicher
4. Cross-Site Scripting (XSS) Sicherheitslücken sind harmlos
5. Die Funktion »htmlspecialchars« verhindert automatisch XSS
6. Die Funktion »mysql_real_escape_string« verhindert automatisch SQL-Injection
7. »magic_quotes_gpc« verhindert automatisch SQL-Injection
8. DDoS Protection Scripte verhindern DDoS-Attacken
9. Der X-Forwarded-For HTTP-Header enthält immer die echte IP-Adresse
10. Validiere $_GET, $_POST, $_COOKIE und Dein PHP-Skript ist sicher

Die Antworten auf diese unzutreffenden Web-Security-Mythen gibt es in dem Beitrag “10 Mythen zum Thema Web-Security”.

Sie zeigen zugleich die Vielfältigkeit und Komplexität des Themas Sicherheit von Webseiten auf.

Ähnliche Beiträge

• Die 10 größten SEO-Mythen
• Sicherheitslücke für Internet Explorer: Code in Bildern
• Sicherheitslücke war lange bekannt
• Kritische Sicherheitslücke in Safari geschlossen
• Update auf Firefox 3.6.2 empfohlen!

Permalink | Kein Kommentar | Seite speichern bei Twitter | Mister Wong | del.icio.us | Y!GG | Linkarena
Schlagwörter: Mythen, Sicherheitslücken, SQL-Injection, Webseiten, XSS

1. Hintergrund
2. Vorteile von WordPress
3. Nachteile von WordPress
4. Mein persönliches Fazit

1. Hintergrund

Auf praegnanz.de erschien am 6. September 2009 der Blogbeitrag “WordPress – wann kommt es zur Katastrophe?“.

Dazu habe ich auch bereits einen Kommentar geschrieben. Gleichwohl habe ich aufgrund der apokalyptischen Stimmung, die mit diesem Artikel und einigen der dortigen Kommentare verbreitet wird, das Bedürfnis noch selbst Position zu Vor- und Nachteilen (Pros und Cons) von WordPress zu beziehen.

Vorsorglich noch der Hinweis, dass die Auflistung von Vor- und Nachteilen natürlich subjektiv ist und nicht abschließend sein kann.

Vor diesem Hintergrund sind Aktualisierungen und Ergänzungen

• aufgrund von Anmerkungen und Diskussionen in den Kommentaren sowie
• Geistesblitzen

möglich. Sie werde ich dann selbstverständlich kenntlich machen.

2. Vorteile von WordPress

Die Vorteile (Pros) von WordPress im Einzelnen:

Es

• lässt sich leicht und schnell installieren (sog. 5 Minuten Installation),
• erzeugt validen Code,
• verfügt über eine ausgesprochen intuitive Oberfläche im Administrationsbereich (Backend),
• gibt eine sehr aktive und hilfreiche WordPress-Gemeinde (Community) unter WordPress.org (englisch) und WordPress-Deutschland.org (deutsch),
• ist gut dokumentiert (Codex, Handbuch und deutsche Dokumentation),
• gibt viel und gute bis hervorragende Literatur dazu,
• ist Open-Source-Software (kostenlos und der Quelltext ist frei, sprich öffentlich zugänglich),
• gibt Hunderte von (kostenlosen) CSS-Layouts (sog. Themes) dafür,
• gibt Tausende von (kostenlosen) Erweiterungen (sog. Plugins) dafür,
• wächst mit meinen Bedürfnissen mit (von der reinen Blog-Software zu einem Content-Management-System (CMS)),
• gibt mehrere Themes auf YAML-Basis (Blitzblank, Simplex Theme, YAML Green, YAML Coffee)
• viele Arbeiten lassen sich mit WordPress und Plugins automatisieren (insbesondere Navigation, Anlegen neuer Seiten, Schlagwortwolke (tag cloud), ähnliche Artikel, Sitemap, XML-Sitemap für Suchmaschinen).

3. Nachteile von WordPress

Kommen wir zu den Nachteilen (Cons) von WordPress:

Es

• weist in der Standardinstallation - vergleichbar mit früheren Windows-Versionen - Sicherheitslücken ein defensives Sicherheitskonzept auf. Dieses lassen lässt sich jedoch durch Handarbeit sowie mit Plugins und zeitnahen Aktualisierungen (Updates) von WordPress schließen verbessern (siehe hierzu insbesondere meinen Blogbeitrag “Sicherheit von WordPress verbessern“),
• gibt wegen Sicherheitslücken (siehe hierzu meine Blogbeiträge “Angriffe auf alte WordPress-Installationen” und “Kritische Sicherheitslücke in WordPress“) und Weiterentwicklungen häufig Aktualisierungen (Updates), die möglichst zeitnah vorgenommen werden sollten (siehe hierzu meine Blogbeiträge “Webseiten-Infos.de auf WordPress 2.8.4 aktualisiert“, “Webseiten-Infos.de auf WordPress 2.8.3 aktualisiert“, “Webseiten-Infos.de auf WordPress 2.8.2 aktualisiert” und “Webseiten-Infos.de auf WordPress 2.8.1 aktualisiert“),
• benötigt immer mehr PHP-Speicher im Administrationsbereich (Backend), so dass aufgrund des PHP-Speicher-Limits für eine Aktualisierung (Update) ein Wechsel des Hosters notwendig werden kann (siehe hierzu meine Blogbeiträge “Ursache des enormen Speicherbedarfs gefunden!“, “Umzug zu einem anderen Webhoster” und “In eigener Sache: Umzug zu Alfahosting“),
• ist im Administrationsbereich (Backend) aufgrund des massiven Einsatzes von JavaScript relativ träge. Durch den Einsatz von modernen Browsern mit einer schnellen JavaScript-Engine (wie beispielsweise aktuell Google Chrome 2 und Firefox 3.5) kann man dem etwas entgegenwirken.
• Es ist schon lustig! Aktuell wird über WordPress hergezogen, weil es nicht sicher sei. Dabei ist die aktuelle Version 2.8.4 (ein Sicherheitsrelease!) von dem Wurmangriff nicht betroffen, weil mit ihr eben schnell eine Sicherheitslücke geschlossen wurde. Vor 2 1/2 Jahren stellte sich die Sicherheitsfrage viel drängender: Damals hatte es ein Cracker geschafft, sich Zugang zu einem Server von WordPress.org zu verschaffen und hatte zwei Dateien der zum Herunterladen bereitstehenden WordPress-Version 2.11 verändert (siehe dazu den Blogbeitrag “WordPress 2.1.1 und der “worst case”” bei WordPress-Deutschland.org).

4. Mein persönliches Fazit

• Jeder muss selbst abwägen und entscheiden, ob sie oder er WordPress angesichts der oben genannten Vor- und Nachteile einsetzen will.
• Sicherheitsmaßnahmen sind sehr wichtig. Wer nicht bereit ist dafür einschließlich zeitnahes Einspielen von Aktualisierungen (Updates) Zeit zu investieren, lebt mit einem höheren Risiko, dass seine WordPress-Installation gehackt wird. Alternativ kannst Du auch auf eine andere Software umsteigen und Du lässt gleich die Finger von eigenen Web-Anwendungen.
• WordPress wird immer mehr als Content-Management-System (CMS) oder als CMS mit integriertem Blog nutzbar und auch genutzt.
• Beliebte und stark verbreitete Open-Source-Software wie WordPress und der Browser Firefox werden verstärkt Ziele von Angriffen. Gefundene Sicherheitslücken werden dort aber regelmäßig schnell geschlossen. Diesbezüglich sei für den Firefox auf meinen Blogbeitrag “Sicherheitslücken: Internet Explorer besonders gefährdet” hingewiesen.

Das musste ich jetzt einfach mal raus lassen und bloggen.

Kommentare

• 8. September 2009, Thomas Scholz schreibt: Welche Sicherheitslücken hat denn die Standardinstallation? Hast du dazu einen Bug gemeldet? Welche Nummer hat er? Das würde ich schon gerne wissen.
• 9. September 2009, Dieter schreibt: @Thomas In der Standardinstallation ist - der Zugang zum Login ungeschützt aufrufbar, - wird automatisch der Nutzer Admin angelegt und - gibt es keine Begrenzung der Anzahl der Login-Versuche. Wenn man da nicht mittels - Passwortschutz über die .htacess-Datei, - Löschen des Nicks Admin, - Plugin die Anzahl der Login-Versuche begrenzt oder vergleichbare Maßnahmen ergreift, dann dürften das leider gute Rahmenbedingungen für eine Brute-Force-Attacke sein oder habe ich da als Laie einen Denkfehler? Wenn dann noch ein schwaches Passwort für den Administrator Admin gewählt wird, dann dürfte das m.E. kritisch sein. Zwar bekomme ich im Administrationsbereich (Backend) inzwischen angezeigt, ob ein Passwort schwach, mittel oder stark ist, aber ich glaube, schwache Passwörter werden von WordPress trotzdem zugelassen. Das habe ich allerdings allein schon aus Sicherheitsgründen nicht ausprobiert. ;-)
• 9. September 2009, Thomas Scholz schreibt: Das Paßwort, das WordPress bei der Installation erzeugt, ist schon recht stark. Es dürfte selbst mit Rainbow-Tables kaum in absehbarer Zeit zu knacken sein. Das Verstecken des Logins und das Umbenennen des Administrators fallen unter »Security by obscurity«. Kann man machen, bringt aber kaum echte Sicherheitsvorteile. Wer eine Brute-Force-Attacke wagt, der läßt sich davon nicht abschrecken. »Sicherheitslücken« sind weder der Login noch das Standardkonto, es sei denn, du führst den Beweis dafür.
• 9. September 2009, Dieter schreibt: @Thomas Das automatisch generierte Passwort dürften wohl die wenigsten WordPress-Administratoren belassen. Stattdessen wird dann ein eigenes Passwort gewählt, das auch schwach sein kann. Hier wäre meines Erachtens ein zusätzlicher Sicherheitsmechanismus, der den bequemen Nutzer schützt, weil er beispielsweise kein schwaches Passwort zulässt, hilfreich. Sicherheit durch Unklarheit (Security through obscurity) würde ich auch nur ergänzend einsetzen. Der zusätzliche Passwortschutz mit der .htaccess-Datei erscheint mir da wichtig. Du scheinst Dich an der Verwendung des Begriffs "Sicherheitslücken" zu stören. Wäre Schwachstellen im Sicherheitskonzept treffender oder hast Du einen anderen passenden Begriff?
• 9. September 2009, Thomas Scholz schreibt: Ja genau, an dem Ausdruck reibe ich mich. »Sicherheitslücke« heißt: Es existiert ein bekanntes und nachvollziehbares Einbruchsszenario, dessen Ursache im WordPress-Code liegt. Aber das ist derzeit nicht der Fall. Wer seine Paßwörter vereinfacht, nimmt weniger Sicherheit bewußt in Kauf. Daran ist nicht WordPress schuld. Man kann bestimmt ein paar Details verbessern. Aber wenn WordPress die Benutzer zu sehr gängelt, wird auch wieder geschimpft. Im Moment regen sich all die Updateschlampen auf, zeigen mit dem Finger auf allen anderen und werfen mit halbgaren Vorschlägen um sich. Irgendwo habe ich sogar gelesen, WordPress solle doch einfach mal den Core neu schreiben. Hallo? Das wäre noch dämlicher als ein Jahr auf Updates zu verzichten. Wenn also so viele Leute ihren Verstand ausknipsen, dann sollte doch der Rest – und dazu möchte ich dich gerne zählen – auf harte Fakten pochen und wieder Sachlichkeit in die Debatte bringen. Übertreibungen nützen niemand. WordPress’ derzeitiges defensives Sicherheitskonzept ist keine »Lücke«, sondern schlicht der Weg, dem einzelnen Nutzer die Details zu überlassen. Ob das gut ist oder nicht, kann und sollte man diskutieren; aber bitte ohne Panikmache.
• 9. September 2009, Dieter schreibt: @Thomas Danke für Deine sachliche und konstruktive Kritik. Ich habe den Begriff "Sicherheitslücke" im ersten Kugelpunkt (bullet point) unter "3. Nachteile von WordPress" durch "defensives Sicherheitskonzept" ersetzt und den Text angepasst. Ich hoffe, das berücksichtigt hinreichend Deine berechtigte Kritik an der Verwendung des Begriffs Sicherheitslücke. Ich suche auch nicht die Schuld bei WordPress, denn da gibt es viele andere wichtige Faktoren wie etwa die Konfiguration des Servers oder Webspaces sowie von PHP (Stichworte: safe_mode, open_basedir, register globals) sowie eben den WordPress-Betreiber selbst (Stichwort: Das Problem sitzt meistens 30cm vor dem Bildschirm ;-) ).

  Updateschlampen

  :lachtot: :lachtot: :lachtot: Damit hast Du den Nagel auf den Kopf getroffen. :!: Den Vorschlag den Core von WordPress neu zu schreiben habe ich im Blogbeitrag "WordPress – wann kommt es zur Katastrophe?" von Gerrit van Aaken gelesen. Das war übrigens der Auslöser für meinen Blogbeitrag (siehe 1. Hintergrund). Ich gebe zu, dass ich die Sinnhaftigkeit den Core von WordPress neu zu programmieren nicht beurteilen kann. Deshalb hatte ich mich auch einer Aussage dazu enthalten. Ich teile Deine Auffassung, dass harte Fakten und Sachlichkeit die Grundlage der Debatte sein sollten. Sprachliche Genauigkeit ist da eine zwingende Voraussetzung. Hierzu gehört Dein Hinweis auf den nicht korrekten Gebrauch des Begriffs Sicherheitslücken. Er war für mich erhellend und äußerst hilfreich. Ich würde es begrüßen, wenn künftige WordPress-Versionen den Nutzer durch intelligente Lösungen bei Sicherheitsfragen unterstützen (beispielsweise indem nur starke Passwörter zugelassen werden). Werde mal auf meine ToDo-Liste die Beschäftigung mit dem Vorschlagswesen bei WordPress.org setzen.
• 5. Dezember 2009, Trierer schreibt: Das Problem mit dem PHP-Speicher ist eigentlich ein ziemlich großes. Bei einem großen Provider, der gerade vom rosa Riesen mit dem T aufgekauft wurde, verursacht das regelmäßig Probleme, nicht nur bei WordPress, sondern auch bei Joomla. Ansonsten ist WordPress eigentlich sehr zu empfehlen, lässt sich intuitiv und schnell bedienen. Dass aber die Entwickler dieses PHP-Speicherproblem nicht anders lösen, ist mir schleierhaft.
• 5. Dezember 2009, Dieter schreibt: Das PHP-Speicherproblem habe ich für Webseiten-Infos.de durch einen Providerwechsel von one.com zu Alfahosting.de gelöst (siehe hierzu auch meine Blogbeiträge "In eigener Sache: Umzug zu Alfahosting" und "Umzug zu einem anderen Webhoster"). Die Entwickler können nur bedingt etwas am Speicherbedarf verbessern. Meine persönliche Vermutung ist, dass der höhere Speicherbedarf zum einem aus dem Einsatz von objektorientierter PHP-Programmierung resultiert und zum anderen aus dem ständig steigenden Funktionsumfang neuer WordPress-Versionen. Im Übrigen empfehle ich Dir meinen Blogbeitrag "Kommentar-Spam bekämpfen" zur Lektüre. ;-)
• 5. Dezember 2009, Thomas Scholz schreibt: @Trierer: Das Problem des Arbeitsspeichers liegt nicht beim PHP-Code, sondern beim Hoster. RAM ist so billig – 6 GB kosten nicht einmal 100 € – daß eine Begrenzung auf 32 MB oder weniger nur noch als Totalversagen des Anbieters bezeichnet werden kann. Der erhöhte Speicherbedarf moderner Webanwendungen ist unausweichlich, und er hilft den Kunden, die Versager leichter zu erkennen. Deshalb finde ich ihn nützlich.
• 5. Dezember 2009, Dieter schreibt: @Thomas Du hast in der Sache Recht, auch wenn ich Deine Formulierungen wie Totalversagen und Versager für zu kraftvoll halte. ;-)
• 30. Juni 2010, Dirk schreibt: Auch wenn es etwas spät für diese Diskussion ist aber evtl. hat Thomas diesen Thread ja abonniert. Was mich an WP stört ist das es immer noch keine automatisierte Datenbank-Sicherung gibt, die dann auch gekoppelt an ein Autoupdate wäre. Dazu eine Automail (du wurdest im Blog xxx geupdatet ) und alle wären glücklich, denn was die meisten wohl nur stört ist das Sichern und das Updaten. Beides lässt sich aber automatisieren. Ich betreibe ca 280 Blogs; rate mal was ich mich über jedes Update freue.
• 30. Juni 2010, Thomas Scholz schreibt: Dirk, ich habe diesen Beitrag tatsächlich abonniert. Hatte ich ganz vergessen. Ich würde Backup-Funktionen nicht unter dem Schlagwort »Sicherheit« ablegen. Ein fehlendes Backup – so ärgerlich das manchmal sein mag – heißt ja noch nicht, daß jemand einbrechen könnte. Es gibt Plugins für Backups, die einigermaßen funktionieren, auch hier natürlich nicht immer und überall. Und genau so soll es auch sein: Systemspezifische Lösungen gehören nicht in den Core. WordPress wird in den unterschiedlichsten Umgebungen benutzt: Intranets, Communities, lokal … Da gibt es keine für alle gleichermaßen sinnvolle Methode. Manche Datenbanken sind viel zu groß, um per Mail verschickt zu werden, andere Installationen benutzen mehrere Server und wieder andere bloggen vielleicht fünfmal im Jahr. Oft bietet auch auch der Hoster schon ein automatisches Backup an. Die Menge der potentiell eingeführten Bugs steht in keinem Verhältnis zum Nutzen. Man kann sich ja einfach per SSH bei MySQL anmelden und automatisiert einen Dump ziehen. So ginge ich jedenfalls bei der Menge vor, die du zu verwalten hast. Auf diesem Weg läßt sich auch WordPress aktualisieren. dazu braucht man kein Plugin; ein Bash-Script genügt.
• 1. Juli 2010, Dieter schreibt: @Thomas Ich würde nicht Backup-Funktionen, aber eine gute Backup-Strategie auch, aber nicht nur unter dem Stichwort Sicherheitskonzept einsortieren. Dein Artikel "Website gehackt – und nun?" war und ist für mich ein wichtiger Gedanken Schubser zu einem besseren Sicherheitskonzept. Nach meinem Verständnis gehört dazu auch eine Backup-Strategie mit regelmäßigen Backups. Mit Skripts und Shell arbeiten überfordert mich leider (noch?).
• 1. Juli 2010, Thomas Scholz schreibt: Ich meine Sicherheit vor Einbrüchen; die sind ja Thema deines Artikels. Sicherheit bei Ausfällen umfaßt selbstverständlich auch das Backup. Dabei spielt es ja keine Rolle, was den Ausfall verursacht hat.
• 1. Juli 2010, Dirk schreibt: Wie man sich täuschen kann; da habe ich doch wirklich nicht gewusst, dass es die Möglichkeit eines Plugins gibt. Wir haben zwar mittlerweile einen Extra Backup Server der wöchentlich alle Server abklappert, aber um das manuelle Updaten kommt man halt trotzdem nicht herum. Spätestens bei den großen Updates... Für mich ging es bei der Diskussion auch nicht um WP nieder zu machen, sondern eher um ein nice to have. Etwas was man sich wünscht und was einem (nicht nur mir) eine Menge Arbeit abnehmen könnte. Die Tatsache, dass ich meine Blogs alle mit WP betreibe, spricht eigentlich dafür, dass ich mit WP zufrieden bin.
• 2. Juli 2010, Dieter schreibt: @Thomas Die verschiedenen Sicherheitsaspekte im Kontext mit WordPress sind ein interessantes Thema. Wäre doch mal was für einen Blogbeitrag. ;-) @Dirk Vielleicht hilft eines der Backup-Plugins für WordPress beim automatisierten Sichern. ;-) Ca. 280 Blogs und alle mit WP betrieben ist jedenfalls definitiv ein eindeutiges Bekenntnis für WP. :-) Willkommen im Club der WordPress-Anhänger. Auch beim WordCamp in Berlin am 3.7. dabei?
• 2. Juli 2010, Dirk schreibt: Ne du. ich lebe schon lange in den Philippinen und viel zu träge um mich noch mal nach Europa zu bewegen. Wenn mein Link nicht gelöscht werden würde. könntest du dir einen Blog von mir anschauen. Obwohl ich nicht verstehe warum. dürfte doch eh nofollow sein.
• 2. Juli 2010, Dieter schreibt: @Dirk Ich habe mir den Link angeschaut und dann gelöscht. Meine Gründe: - Kein Impressum, d.h. es ist nicht offensichtlich, dass Du der Verantwortliche bist. - Hier müssten bei den Kommentaren alle Links ohne nofollow sein. Bei mir gibt es für Kommentare hier nur Link oder kein Link. Solltest Du bei den Kommentaren einen Nofollow-Link finden (Ausnahme: Wikipedia), wäre ich für einen entsprechenden Hinweis dankbar. - Du hast kein Gravatar mit Deiner Mailadresse verknüpft.
• 3. Juli 2010, Dirk schreibt: Wie man ein Gravatar mit einer Mailadresse verknüpft weiß ich nicht, aber da werde ich mich gleich wohl mal schlau machen. Impressum brauchste nur als Deutscher Staatsbürger, egal wo du lebst, die Domains gehören aber meine Frau, also brauche ich keins. Die werden trotzdem sauber geführt, schleßlich sollen sie langfristig als Wissensdatenbank herhalten.
• 3. Juli 2010, Dieter schreibt: @Dirk Für Avatare siehe http://www.gravatar.com und hier habe ich dazu auch einen Blogbeitrag geschrieben.
• 21. September 2010, Siggi schreibt: Hey Dieter - auch mein Lieblingswort in diesem Beitrag/bzw. im Kommentarbereich ist *Updateschlampen* ...sehr sehr cool!
• 22. September 2010, Dieter schreibt: @Siggi Ja, die plastische Formulierung Updateschlampen von toscho gefällt mir auch. Inzwischen ist allerdings WordPress 3.0 mit einem noch höheren Speicherbedarf erschienen, so dass ich für eine Website noch zu alfahosting.de wechseln muss, bevor ich auf WordPress 3.0 updaten kann.
• 26. Dezember 2011, Die 10 größten Web-Security-Mythen | Webseiten-Infos.de schreibt: [...] Zum vorherigen Beitrag [...]

Ähnliche Beiträge

• Wann WordPress einsetzen?
• Die 10 größten Web-Security-Mythen
• Impressum
• WordPress-Beiträge über WordPress-Infos.de erreichbar
• WordPress 3.0.1 auf 3.0.2 aktualisiert

Permalink | 23 Kommentare | Seite speichern bei Twitter | Mister Wong | del.icio.us | Y!GG | Linkarena
Schlagwörter: Bücher, Nachteile, Plugins, Sicherheitslücken, Themes, Update, Vorteile, WordPress

1. Aktueller Wurm-Angriff auf alte WordPress-Versionen
2. Was tun, wenn Deine WordPress-Installation gehackt ist?
3. Zusätzlich lesenswert in diesem Zusammenhang

1. Aktueller Wurm-Angriff auf alte WordPress-Versionen

Erst einmal die gute Nachricht:

Alle WordPress-Installationen, welche die aktuelle WordPress-Version 2.8.4 einsetzen, scheinen nicht betroffen zu sein.

Nun die schlechte Nachricht für alle WordPress-Nutzer von älteren Versionen:

Inwieweit WordPress-Installationen mit älteren Versionen bereits von dem Wurm erfolgreich angegriffen wurde, lässt sich für WordPress-Installationen der Version 2.6 und höher mit dem Plugin Antivirus für WordPress von Sergej Müller feststellen. Es prüft in der neuen Version 0.5 WordPress auch auf Veränderungen durch den aktuellen Wurm-Angriff.

Ein sicheres Indiz für den Wurmbefall sind geänderte Permalinks (siehe hierzu den Blogbeitrag “Alte WordPress-Versionen unter Beschuss” von Perun).

Was kannst Du tun:

1. WordPress so schnell wie möglich auf die derzeitige Version 2.8.4 aktualisieren (updaten) (siehe hierzu meinen Blogbeitrag “Webseiten-Infos.de auf WordPress 2.8.4 aktualisiert“). Sicherheitskopien (Backup) der Dateien und Datenbank einschließlich Exportfunktion im Administrationsbereich (Backend) vorher nicht vergessen!
2. Sofern Du aufgrund des Speicherproblems die Version 2.8.4 nicht installieren kannst (siehe hierzu meinen Blogbeitrag “Ursache des enormen Speicherbedarfs gefunden!“), Deinen Hoster um mehr PHP-Speicher bitten oder den Hoster wechseln.
3. Darüber hinaus solltest Du auf jeden Fall Deinen Administrationsbereich sicherer machen (siehe hierzu meinen Blogbeitrag “Sicherheit von WordPress verbessern” und insbesondere den Blogbeitrag “Sicherheit in WordPress: 10 Schritte zum Schutz des Admin-Bereichs” von Sergej Müller).

2. Was tun, wenn Deine WordPress-Installation gehackt ist?

Dann empfehle ich Dir dringend den Blogbeitrag “Website gehackt – und nun?” von Thomas Scholz aka toscho zu lesen und danach vorzugehen.

Wer – wie ich - Windows einsetzt, sollte dann aber seinen Rechner auch besonders schützen.

3. Zusätzlich lesenswert in diesem Zusammenhang

• Ältere WordPress-Versionen Ziel von Angriffen im Blog von WordPress-Deutschland.org einschließlich dortige Kommentare und Links
• How to Keep WordPress Secure von Matt Mullenweg
• Wurm greift WordPress an auf golem.de (Nachtrag vom 8. September 2009)
• FAQ My site was hacked auf WordPress.org (Nachtrag vom 8. September 2009)

Kommentare

• 7. September 2009, Thomas Weise schreibt: Jup, hab jetzt auch Version 2.8.4 laufen ;-).
• 7. September 2009, Dieter schreibt: @Thomas Gut, wenn WordPress 2.8.4 trotz des höheren PHP-Speicherbedarfs im Administrationsbereich (Backend) bei Dir problemlos läuft. :-) Leider fallen bei WordPress ausgesprochen häufig Updates an. :ugly: Dafür gibt es halt eine schnelle Weiterentwicklung von WordPress und auch Sicherheitslücken werden schnell geschlossen. :!:
• 26. Dezember 2011, Die 10 größten Web-Security-Mythen | Webseiten-Infos.de schreibt: [...] auf nicht aktualisierte WordPress-Installationen (siehe hierzu meine Blogbeiträge “Angriffe auf alte WordPress-Installationen” und “WordPress: Wider dem Katastrophen-Gerede“) ein wohl passender Beitrag zur [...]

Ähnliche Beiträge

• Die 10 größten Web-Security-Mythen
• Sicherheit von WordPress verbessern
• WordPress: Wider dem Katastrophen-Gerede
• Webseiten-Infos.de auf WordPress 3.0.1 aktualisiert
• WordPress 3.0.1 auf 3.0.2 aktualisiert

Permalink | 3 Kommentare | Seite speichern bei Twitter | Mister Wong | del.icio.us | Y!GG | Linkarena
Schlagwörter: Angriff, Sicherheitslücken, Update, WordPress, WordPress 2.8.4, Wurm

Mozilla informiert wie folgt darüber, was am Firefox 3.5.2 neu ist:

Firefox 3.5.2 behebt folgende Probleme:

• Mehrere Sicherheitslücken.
• Bilder mit ICC-Farbprofilen werden jetzt auf allen Bildschirmen korrekt dargestellt.

Bitte lesen Sie die vollständige Liste der Änderungen in dieser Version.

Auch dieses Update wird automatisch angeboten und installiert.

Ergänzend wie bereits zum Firefox 3.5.1 (siehe hierzu meinen Blogbeitrag “Firefox 3.5.1 steht zum Download bereit“) noch folgende Hinweise:

• Inzwischen funktionieren die meisten Firefox-Addons auch mit dem Browser Firefox 3.5 und höher (siehe hierzu auch meinen Blogbeitrag “Firefox 3.5 steht zum Download bereit“).
• Der Firefox 3.5 und höher ist gegenüber den früheren Versionen deutlich schneller und läuft stabiler. Eine Aktualisierung auf die neueste Version dürfte sich deshalb im Regelfall empfehlen.

Kommentare

• 21. Dezember 2011, Firefox 3.5.6 steht zum Download bereit | Webseiten-Infos.de schreibt: [...] (siehe hierzu meine Blogbeiträge “Firefox 3.5.1 steht zum Download bereit“, “Firefox 3.5.2 steht zum Download bereit“, “Firefox 3.5.3 steht zum Download bereit“, “Firefox 3.5.4 steht zum [...]
• 21. Dezember 2011, Firefox 3.5.5 steht zum Download bereit | Webseiten-Infos.de schreibt: [...] (siehe hierzu meine Blogbeiträge “Firefox 3.5.1 steht zum Download bereit“, “Firefox 3.5.2 steht zum Download bereit“, “Firefox 3.5.3 steht zum Download bereit” und “Firefox 3.5.4 steht zum [...]

Ähnliche Beiträge

• Firefox 3.5.3 steht zum Download bereit
• Firefox 3.5.5 steht zum Download bereit
• Firefox 3.5.6 steht zum Download bereit
• Firefox 3.5.4 steht zum Download bereit
• Firefox 3.5.7 steht zum Download bereit

Permalink | 2 Kommentare | Seite speichern bei Twitter | Mister Wong | del.icio.us | Y!GG | Linkarena
Schlagwörter: Browser, Firefox, Sicherheitslücken, Update

Beim Aktualisieren (Update) bin ich diesmal anders vorgegangen. Zur vorhergehenden Verfahrensweise siehe meine Blogbeiträge “Webseiten-Infos.de auf WordPress 2.8.2 aktualisiert” und “Webseiten-Infos.de auf WordPress 2.8.1 aktualisiert“. Diesmal habe ich nicht gewartet, bis im Administrationsbereich (Backend) das Update angezeigt wird und der große Ansturm (Run) vorbei ist, damit das Update nicht abbricht. Vielmehr nutzte ich das Upgradepaket für 2.8.2 auf 2.8.3. Ich entpackte es auf meiner Festplatte (Harddisk) und spielte es dann, nachdem ich das !Wartungsmodus-Plugin aktiviert hatte, mit meinem ftp-Programm auf den Webspace rüber.

Ebenso verfuhr ich auch mit der aktuellen Sprachdatei für die WordPress-Version 2.8.3 von WordPress-Deutschland.org.

Ärgerlich finde ich jedoch, dass der seit WordPress 2.8 inakzeptabel hohe Speicherbedarf weiterhin fortbesteht (siehe hierzu meinen Blogbeitrag “Ursache des enormen Speicherbedarfs gefunden!“).

Da die Version 2.8.3 von WordPress ein Sicherheitsrelease ist und eine schwerwiegende Sicherheitslücke behebt (siehe hierzu meinen Blogbeitrag “Kritische Sicherheitslücke in WordPress“), sollten alle WordPress-Nutzer, die kein Problem mit dem Speicherbedarf von WordPress seit der Version 2.8 haben, auf diese neue Version möglichst schnell aktualisieren (updaten).

Kommentare

• 4. August 2009, plerzelwupp schreibt: So - ich hab kurz die Luft angehalten und soeben auch die aktuelle Version aufgespielt. Vielen Dank auch für den Tipp "Wp System Health" (aus dem anderen Artikel). Das ersetzt nun das wp-memory-usage".
• 4. August 2009, Dieter schreibt: @plerzelwupp Schön, dass das Update bei Dir auch ohne Probleme aufzuspielen war. :-) Ja, WordPress System Health macht WP-Memory-Usage überflüssig und bietet deutlich mehr Informationen, nämlich über das System, PHP, WordPress und die MySQL-Datenbank. :cool:
• 21. Dezember 2011, Kritische Sicherheitslücke in WordPress | Webseiten-Infos.de schreibt: [...] Zum nächsten Beitrag [...]

Ähnliche Beiträge

• WordPress 3.0.1 auf 3.0.2 aktualisiert
• Webseiten-Infos.de auf WordPress 2.8.6 aktualisiert
• Webseiten-Infos.de auf WordPress 2.8.4 aktualisiert
• Webseiten-Infos.de auf WordPress 3.0.1 aktualisiert
• Webseiten-Infos.de auf WordPress 2.8.2 aktualisiert

Permalink | 3 Kommentare | Seite speichern bei Twitter | Mister Wong | del.icio.us | Y!GG | Linkarena
Schlagwörter: ftp, Sicherheitslücken, Sprachdatei, Update, WordPress, WordPress 2.8.3

Die schlechte Nachricht:

Sie betrifft anscheinend alle Versionen von WordPress einschließlich der aktuellen Version 2.8.2.

Die guten Nachrichten:

• Sie ist nur für Betreiber von WordPress-Installationen relevant, bei denen Dritte als registrierte Benutzer (die Rolle “Abonnent” mit den wenigsten Rechten reicht schon) existieren und/oder angelegt werden können. Das ist beispielsweise der Fall, wenn sich Dritte zum Kommentieren registrieren müssen.
• Thomas Scholz aka toscho hat bereits einen Fix zum Schließen dieser Sicherheitslücke entwickelt. Ob WordPress-Deutschland.org will die sichere Variante dieses Fixes erst öffentlich zugänglich machen, wenn es eine entsprechende Reaktion der Entwickler gibt (siehe hierzu den Kommentar von toscho und von den Kommentar von Olaf). Wie toscho plädiere ich für die transparente Methode. Schließlich ist der Code von WordPress auch frei zugänglich und ist gerade dies einer der Stärken von Open-Source-Software. Aber auch die Argumentation von Olaf mit der Veröffentlichung zu warten ist nachvollziehbar.

Meine Empfehlung:

Wer also bei seiner WordPress-Installation Dritten wie etwa Besuchern die Registrierung erlaubt, sollte

• diese Abschalten und unbekannte, bereits registrierte Benutzer vorsorglich löschen und/oder
• das Verzeichnis wp-admin seiner WordPress-Installation temporär mit einem vollständigen .htaccess Schutz versehen und/oder
• den Fix von toscho einsetzen,

um diese Sicherheitslücke zu schließen.

Danke an

• das Forenmitglied illifly für das Berichten über die Sicherheitslücke,
• Olaf Baumann aka jottlieb für den Blogbeitrag bei WordPress-Deutschland.org dazu und
• toscho für das Entwickeln eines Fix um die kritische Sicherheitslücke zu schließen.

Mein Fazit:

• Ich habe Glück gehabt, denn meine Blogs kennen nur mich als registrierten Benutzer. Kommentatoren müssen sich bei mir nicht registrieren. Damit darf ich trotz dieser kritischen Sicherheitslücke gelassen bleiben.
• Bleibt zu hoffen, dass mit der nächsten WordPress-Version (2.8.3?) diese kritische Sicherheitslücke auch offiziell geschlossen wird.
• Die häufig auftretenden und festgestellten Sicherheitslücken sprechen nicht für WordPress. Andererseits werden diese aufgrund seiner starken Verbreitung oft sehr schnell gefunden und geschlossen. Dies spricht wiederum für WordPress.

Nachtrag vom 4. August 2009:

Die Entwickler haben schnell reagiert und die Version 2.8.3 veröffentlicht (siehe hierzu auch meinen Blogbeitrag “Webseiten-Infos.de auf WordPress 2.8.3 aktualisiert“). Das Update hierauf ist aus Sicherheitsgründen zu empfehlen.

Wer aufgrund des höheren PHP-Speicherbedarfs nicht auf WordPress 2.8.x aktualisieren kann (siehe hierzu meinen Blogbeitrag “Ursache des enormen Speicherbedarfs gefunden!“), behält die kritische Sicherheitslücke. Für diese Fälle gelten meine oben gemachten Empfehlungen weiterhin.

Nachtrag vom 8. August 2009:

Toscho hat in seinem Blogbeitrag “WordPress 2.8.3: Das Doppelslash-Problem” eine PHP-Lösung veröffentlicht, die auch mit älteren WordPress-Versionen funktioniert und zudem weitere Probleme löst. Einfach den im seinen Blogbeitrag veröffentlichten PHP-Code in die functions.php des aktiven Themes kopieren.

Darüber hinaus macht er darauf aufmerksam, dass mehrfache Slashes // in der URL nicht nur Probleme bei WordPress bereiten.

Dank Markus Wulftange aka Gumbo stellt er in seinem Blogbeitrag auch noch eine Lösung mittels (Ergänzung der) .htaccess-Datei und mod_rewrite vor (muss in der .htaccess-Datei vor der PERISHABLE PRESS 4G BLACKLIST stehen, sofern vorhanden, und die Zeile “RedirectMatch 403 \/\/”dieser Blacklist auskommentiert werden).

Funktioniert auf dieser Webpräsenz übrigens einwandfrei.

Das sollte bei allen Anwendungen helfen. Die (Ergänzung der) .htaccess ist die bessere Alternative. Wenn sie bei Dir funktioniert (testen!), dann brauchst Du die functions.php des aktiven WordPress-Themes nicht zu ergänzen.

Kommentare

• 21. Dezember 2011, Webseiten-Infos.de auf WordPress 2.8.3 aktualisiert | Webseiten-Infos.de schreibt: [...] Zum vorherigen Beitrag [...]
• 21. Dezember 2011, WordPress: Wider dem Katastrophen-Gerede | Webseiten-Infos.de schreibt: [...] hierzu meine Blogbeiträge “Angriffe auf alte WordPress-Installationen” und “Kritische Sicherheitslücke in WordPress“) und Weiterentwicklungen häufig Aktualisierungen (Updates), die möglichst zeitnah [...]

Ähnliche Beiträge

• Update auf Firefox 3.6.3 empfohlen!
• Kritische Sicherheitslücke in Safari geschlossen
• Webseiten-Infos.de auf WordPress 2.8.3 aktualisiert
• Update auf Firefox 3.6.2 empfohlen!
• Firefox 3.0.8 schließt zwei Sicherheitslücken

Permalink | 2 Kommentare | Seite speichern bei Twitter | Mister Wong | del.icio.us | Y!GG | Linkarena
Schlagwörter: .htaccess, Fix, functions.php, mehrfache Slashes, PHP, Registrierung, Sicherheitslücken, WordPress

Beim Aktualisieren (Update) bin ich genauso vorgegangen wie beim Aktualisieren (Updaten) auf die Version 2.8.1 von WordPress (siehe hierzu meinen Blogbeitrag “Webseiten-Infos.de auf WordPress 2.8.1 aktualisiert“).

Vorsorglich habe ich auch die aktuelle Sprachdatei für die WordPress-Version 2.8.2 von WordPress-Deutschland.org hochgeladen.

Erfreulicherweise bedurfte es diesmal nicht eines erneuten Hochladens der GreenSmilies.

Ärgerlich finde ich jedoch, dass

• das Pingback-Problem weiterhin mit einem manuellen Eingriff in der cron.php behoben werden muss (siehe hierzu meinen Blogbeitrag “Pingback-Problem bei WordPress 2.7 beheben” und die dortigen Kommentare),
• ich die GreenSmilies doch wieder auf den Webspace hochladen muss (da hat mir der Cache einen Streich gespielt) und
• der seit WordPress 2.8 inakzeptabel hohe Speicherbedarf fortbesteht.

Da die Version 2.8.2 von WordPress ein Sicherheitsrelease ist und einen schwerwiegenden XSS-Exploit behebt, sollten alle WordPress-Nutzer, die kein Problem mit dem Speicherbedarf von WordPress seit der Version 2.8 haben, auf diese neue Version möglichst schnell aktualisieren (updaten).

Kommentare

• 21. Juli 2009, Mary Scott schreibt: Ich finde die Aktualisierung von WordPress wird viel zu oft durchgeführt. Da hat man sich gerade daran gewöhnt und schon ist wieder alles anders.
• 21. Juli 2009, Dieter schreibt: @Mary Scott Mir wären seltenere Updates auch lieber, denn die ständigen Sicherungen (Backups) und Aktualisierungen sind bei mehreren Blogs ganz schön zeitintensiv. Andererseits ist das hier ein Sicherheitsrelease und das sollte man möglichst schnell vornehmen.
• 22. Juli 2009, WordPress2-8-2 Update unter PHP5 | Blogging, Internet und Webpromotion schreibt: [...] Webseiten-infos.de sprach auch das Pingback-Problem an [...]
• 21. Dezember 2011, Webseiten-Infos.de auf WordPress 2.8.3 aktualisiert | Webseiten-Infos.de schreibt: [...] ich diesmal anders vorgegangen. Zur vorhergehenden Verfahrensweise siehe meine Blogbeiträge “Webseiten-Infos.de auf WordPress 2.8.2 aktualisiert” und “Webseiten-Infos.de auf WordPress 2.8.1 aktualisiert“. Diesmal habe ich [...]
• 21. Dezember 2011, Webseiten-Infos.de auf WordPress 2.8.4 aktualisiert | Webseiten-Infos.de schreibt: [...] im Admininstrationsbereich (Backend) genutzt (siehe hierzu auch meine Blogbeiträge “Webseiten-Infos.de auf WordPress 2.8.2 aktualisiert” und “Webseiten-Infos.de auf WordPress 2.8.1 [...]
• 21. Dezember 2011, WordPress: Wider dem Katastrophen-Gerede | Webseiten-Infos.de schreibt: [...] aktualisiert“, “Webseiten-Infos.de auf WordPress 2.8.3 aktualisiert“, “Webseiten-Infos.de auf WordPress 2.8.2 aktualisiert” und “Webseiten-Infos.de auf WordPress 2.8.1 [...]

Ähnliche Beiträge

• WordPress 3.0.1 auf 3.0.2 aktualisiert
• Webseiten-Infos.de auf WordPress 2.8.6 aktualisiert
• Webseiten-Infos.de auf WordPress 2.8.3 aktualisiert
• Webseiten-Infos.de auf WordPress 2.8.4 aktualisiert
• Webseiten-Infos.de auf WordPress 3.0.1 aktualisiert

Permalink | 6 Kommentare | Seite speichern bei Twitter | Mister Wong | del.icio.us | Y!GG | Linkarena
Schlagwörter: Sicherheitslücken, Speicherbedarf, Sprachdatei, Update, WordPress, WordPress 2.8.2

Mozilla informiert wie folgt darüber, was am Firefox 3.5.1 neu ist:

Firefox 3.5.1 behebt folgende Probleme:

• Mehrere Sicherheitslücken.
• Mehrere Stabilitätsprobleme.
• Ein Problem, das dazu führte, dass Firefox auf einigen Windows-Systemen lange Ladezeiten hatte.

Bitte lesen Sie die vollständige Liste der Änderungen in dieser Version.

Auch dieses Update wird automatisch angeboten und installiert.

Im Übrigen funktionieren inzwischen die meisten Firefox-Addons auch mit dem Browser Firefox 3.5 und höher (siehe hierzu auch meinen Blogbeitrag “Firefox 3.5 steht zum Download bereit“).

Zudem ist der Firefox 3.5 und höher gegenüber den früheren Versionen deutlich schneller und läuft stabiler. Eine Aktualisierung auf die neueste Version dürfte sich deshalb im Regelfall empfehlen.

Kommentare

• 3. Dezember 2011, Firefox 3.5.7 steht zum Download bereit | Webseiten-Infos.de schreibt: [...] zum Firefox 3.5.1, 3.5.2, 3.5.3, 3.5.4, 3.5.5 und 3.5.6 (siehe hierzu meine Blogbeiträge “Firefox 3.5.1 steht zum Download bereit“, “Firefox 3.5.2 steht zum Download bereit“, “Firefox 3.5.3 steht zum [...]

Ähnliche Beiträge

• Firefox 3.5.3 steht zum Download bereit
• Firefox 3.5.5 steht zum Download bereit
• Firefox 3.5.2 steht zum Download bereit
• Firefox 3.5.6 steht zum Download bereit
• Firefox 3.5.4 steht zum Download bereit

Permalink | Ein Kommentar | Seite speichern bei Twitter | Mister Wong | del.icio.us | Y!GG | Linkarena
Schlagwörter: Browser, Firefox, Sicherheitslücken, Stabilitätsprobleme, Update

Besonders angenehm fiel mir beim Safari 4 für Windows auf, dass er im Gegensatz zu Vorversionen nun die Schrift nicht mehr automatisch im Fettdruck darstellt. Vielmehr ähnelt jetzt die Textdarstellung endlich auch der anderer Browser.

Darüber hinaus unterstützt er nun wie der Browser Google Chrome 2 (siehe hierzu den Blogbeitrag “Kurzer Testbericht zum Google-Browser Chrome 2.0“), der ebenfalls zum Rendern die Webkit-Engine verwendet, Mehrfachschatten mit dem CSS-Selektor text-shadow (beispielsweise zu sehen in der Kopfzeile (Header) meines privaten Blogs unter www.dieter-welzel.de/blog/).

Mit dem Safari 4 hat Apple auch mehr als 50 Sicherheitslücken geschlossen. Deshalb empfiehlt sich ein baldiges Aktualisieren auf diese neue Version.

Weitere Infos zum Safari 4 gibt es beispielsweise in den Artikeln

• Apple veröffentlicht Safari 4 für Windows und MacOS X (Upd.) bei golem.de und
• Apple veröffentlicht Webbrowser Safari 4 bei heise.de

Ähnliche Beiträge

• Erweiterungen für Browser
• Safari 5.0.1 mit Erweiterungen
• Sicherheitslücke im RSS-Feed-Reader des Browsers Safari
• Opera 11 mit Erweiterungen
• Kritische Sicherheitslücke in Safari geschlossen

Permalink | Kein Kommentar | Seite speichern bei Twitter | Mister Wong | del.icio.us | Y!GG | Linkarena
Schlagwörter: Apple, Browser, Safari, Sicherheitslücken

Mozilla informiert wie folgt darüber, was am Firefox 3.0.11 neu ist:

Firefox 3.0.11 behebt mehrere Probleme, die in Firefox 3.0.10 gefunden wurden:

• Mehrere Sicherheitslücken wurden geschlossen.
• Mehrere Stabilitätsprobleme wurden behoben.
• Mehrere Probleme mit der internen SQLite-Datenbank wurden gemeldet, die durch ein Update auf eine neuere Version behoben wurden.
• Ein Problem, das in bestimmten Fällen dazu führte, dass die Lesezeichen-Datenbank beschädigt wurde, wurde behoben. (Bug 464486)
• Informationen zu früheren Änderungen finden Sie in den Versionshinweisen von Firefox 3.0.10.

Hier finden Sie die vollständige Liste der behobenen Fehler.

Auch dieses Update wird normalerweise automatisch angeboten und installiert.

Übrigens: Bereits morgen, also am 30. Juni 2009, soll der neue Firefox 3.5 zum Herunterladen (Download) bereitstehen (Quelle: Webmonkey.com via Twitter).

Ähnliche Beiträge

• Firefox 3.0.8 schließt zwei Sicherheitslücken
• Firefox 3.0.9 schließt mehrere Sicherheitslücken
• Firefox Update 3.0.5 schließt mehrere Sicherheitslücken
• Firefox 3.0.6 schließt sechs Sicherheitslücken
• Firefox 3.0.10 schließt eine Sicherheitslücke

Permalink | Kein Kommentar | Seite speichern bei Twitter | Mister Wong | del.icio.us | Y!GG | Linkarena
Schlagwörter: Browser, Firefox, Sicherheitslücken, Stabilitätsprobleme, Update

Mozilla informiert wie folgt darüber, was am Firefox 3.0.10 neu ist:

Firefox 3.0.10 behebt zwei Probleme, die in Firefox 3.0.9 gefunden wurden:

• Eine Sicherheitslücke wurde behoben.
• Ein schweres Stabilitätsproblem wurde behoben.
• Informationen zu früheren Änderungen finden Sie in den Versionshinweisen von Firefox 3.0.9.

Hier finden Sie die vollständige Liste der behobenen Fehler.

Auch dieses Update wird normalerweise automatisch angeboten.

Angesichts der behobenen Sicherheitslücke und des Stabilitätsproblems, das ich im Zusammenhang mit dem Addon HTML-Tidy bemerkte, habe ich schnell meinen Lieblingsbrowser Firefox auf dem neuesten Stand gebracht.

Ähnliche Beiträge

• Update auf Firefox 3.6.3 empfohlen!
• Update auf Firefox 3.6.2 empfohlen!
• Firefox 3.0.8 schließt zwei Sicherheitslücken
• Kritische Sicherheitslücke in Safari geschlossen
• Firefox 3.0.11 schließt elf Sicherheitslücken

Permalink | Kein Kommentar | Seite speichern bei Twitter | Mister Wong | del.icio.us | Y!GG | Linkarena
Schlagwörter: Browser, Firefox, Sicherheitslücken, Stabilitätsprobleme, Update

Mozilla informiert wie folgt darüber, was am Firefox 3.0.9 neu ist:

Firefox 3.0.9 behebt mehrere Probleme, die in Firefox 3.0.8 gefunden wurden:

• Mehrere Sicherheitslücken wurden behoben.
• Mehrere Stabilitätsprobleme wurden behoben.
• Viele Anwender hatten Probleme mit einer beschädigten lokalen Datenbank, die dazu führte, dass Firefox gespeicherte Cookies “verlor”. (Bug 470578)
• Ein Problem wurde behoben, das ab Firefox 3.0.7 dazu führte, dass eingebundene Bilder-Anhänge in bekannten Webmail-Diensten (wie AOL und AIM) nicht angezeigt wurden. (Bug 482659)
• Große Formulare brauchten teilweise lange, um übertragen zu werden. (Bug 426991)
• In bestimmten Fällen bekamen neue Fenster nicht den entsprechenden Fokus. (Bug 446568)
• Informationen zu früheren Änderungen finden Sie in den Versionshinweisen von Firefox 3.0.8.

Hier finden Sie die vollständige Liste der behobenen Fehler.

Das Update auf diese neue Version wird normalerweise automatisch angeboten.

Ich habe meinen Lieblingsbrowser Firefox schon wieder auf dem neuesten Stand.

Kommentare

• 28. April 2009, Toby schreibt: Echt praktisch diese automatischen Updates, hat es bei mir auch gleich reingespielt. Heute ist auch schon wieder ein neues unterwegs
• 28. April 2009, Dieter schreibt:

  Heute ist auch schon wieder ein neues unterwegs

  Jepp! Habe es auch gerade festgestellt: Firefox 3.0.10

Ähnliche Beiträge

• Firefox 3.0.11 schließt elf Sicherheitslücken
• Firefox 3.0.8 schließt zwei Sicherheitslücken
• Firefox Update 3.0.5 schließt mehrere Sicherheitslücken
• Update auf Firefox 3.6.2 empfohlen!
• Firefox 3.5.6 steht zum Download bereit

Permalink | 2 Kommentare | Seite speichern bei Twitter | Mister Wong | del.icio.us | Y!GG | Linkarena
Schlagwörter: Browser, Firefox, Sicherheitslücken, Stabilitätsprobleme, Update

Da verwundert es nicht, dass WordPress-Installationen auch besonders häufig das Ziel von Angriffen sind, mit denen Schadcode eingeschleust wird (siehe hierzu beispielsweise den Blogbeitrag “WordPress-Wurm treibt sein Unwesen: Blogger als Sicherheitsrisiko” von Sergej Müller).

Sergej Müller hat sich dieses Problems angenommen und zur Überprüfung, ob das jeweils aktive WordPress-Theme mit Schadcode infiziert ist, ein Antivirus-Plugin geschrieben.

Ich habe dieses Plugin heute testweise installiert und unter Einstellungen – AntiVirus einen manuellen Scan gestartet.

Das Ergebnis: Es wurde mir verdächtiger Code in einigen Dateien meines aktiven Themes YAML Green gemeldet.

Meine Kontrolle der Codezeilen ergab, dass es sich dabei um die von mir eingefügten JavaScripte für Seitzeichen und Google Maps handelte. Deshalb bestätigte ich diese Theme-Dateien als virenfrei. Eine erneute manuelle Überprüfung ergab, dass nun das Plugin die Bestätigungen, dass es sich um unbedenkliche Skripte handelt, berücksichtigt und keine Warnungen mehr anzeigte.

Natürlich darf und solltest Du Deine Sicherheitsaktivitäten bei WordPress nicht auf dieses WordPress-Plugin beschränken. Aber: Es ist eine sehr wertvolle Hilfe bei der Jagd nach Schadcode in einem Theme. Durch die Option täglich das aktive Theme automatisch auf Schadcode überprüfen zu lassen und bei Warnungen eine automatische Mail an den Bloginhaber zu senden, wird das Sicherheitsniveau erhöht und wirst Du im Falle einer Infizierung des Themes mit Schadcode im Zweifel schneller darauf aufmerksam.

Deshalb teile ich auch das dumme WordPress-Nutzer unterstellende Fazit des Beitrags “Wer braucht ein AntiVirus-Plugin für WordPress?” bei Dr. Web in keinster Weise.

Ich kann den Einsatz des Antivirus-Plugins ebenso wie den von weiteren WordPress-Plugins des Programmierers Sergej Müller (beispielsweise Antispam Bee und wpMAPS (siehe hierzu auch meinen Blogbeitrag “Karte mit WordPress-Plugin wpMAPS” )) nur empfehlen.

Nachtrag vom 18. April 2010

Mit der Version 0.7 von wpAntiVirus erweiterte Sergej Müller die Prüfung nach Schadcode im aktiven Theme.

Mir fiel nach der Aktualisierung (dem Update) auf die Version 0.7 auf, dass nun der Einsatz von include in den Dateien des Themes als Gefahrenquelle hervorgehoben wird.

Da ich das Theme YAML Green um relativ viele includes ergänzt habe, nahm zwar die manuelle Überprüfung etwas Zeit in Anspruch, aber nun kann ich mir auch sicher sein, dass mir auf dem Webspace keine zusätzlich includierte Datei untergeschoben wurde.

Desto besser Du das bei Dir eingesetzte WordPress-Theme kennst, umso besser kannst Du beurteilen, ob die vorhandenen includes verhanden sein dürfen oder nicht. Laien dürfte diese erweiterte Funktionalität immerhin dann etwas bringen, wenn sich nach Aktualisierung (Update) des Plugins und manueller Bestätigung der bestehenden includes danach noch neue includes auftauchen.

Für mich ist das eine sehr hilfreiche Erweiterung der Sicherheitsüberprüfung, denn ich möchte nicht manuell nach includes in den Theme-Dateien suchen müssen. Ein herzliches Dankeschön an Sergej!

Kommentare

• 11. April 2009, Sergej Müller schreibt: Gut erkannt, noch besser formuliert. Thanks für den Artikel.
• 11. April 2009, Dieter schreibt: @Sergej Du hast ein Sicherheitsproblem erkannt und ein sehr nützliches Plugin dafür geschrieben. Danke für Deine guten und hilfreichen WordPress-Plugins.
• 27. November 2009, Maria schreibt: Wunderbar, wieder ein Sicherheitsproblem weniger!
• 27. November 2009, Dieter schreibt: Freut mich! Und hättest Du zu einer WordPress-Präsenz von Dir verlinkt, hätte ich möglicherweise auch nicht den Link entfernt. ;-)
• 21. Dezember 2011, Sicherheit von WordPress verbessern | Webseiten-Infos.de schreibt: [...] von Sergej Müller (siehe hierzu auch meinen Blogbeitrag “Antivirus-Plugin verbessert Sicherheit” und die alte Website für das [...]

Ähnliche Beiträge

• Spamschutz nur mit Antispam Bee
• Sicherheit von WordPress verbessern
• Angriffe auf alte WordPress-Installationen
• BSI warnt vor Internet Explorer
• Die 10 größten Web-Security-Mythen

Permalink | 5 Kommentare | Seite speichern bei Twitter | Mister Wong | del.icio.us | Y!GG | Linkarena
Schlagwörter: Antivirus, Plugins, Schadcode, Sicherheitslücken, WordPress

Heise.de berichtet hierüber unter der Überschrift “Firefox 3.0.8 schließt zwei Lücken“wie folgt:

Die Mozilla-Foundation hat das erwartete Update auf Version 3.0.8 ihres Browsers Firefox veröffentlicht. Es steht zum Download zur Verfügung und kommt bei aktiviertem Auto-Update auch automatisch auf den Rechner.

Mit Firefox 3.0.8 hat Mozilla nach eigenen Angaben zwei kritische Sicherheitslücken geschlossen. Ein Exploit des Sicherheitsspezialisten Guio Landi hatte am vergangenen Mittwoch bewiesen, dass ein Fehler bei der Verarbeitung fehlerhafter XML- beziehungsweise XSL-Dateien zu einem Speicherfehler führen. Dies hätte sich laut Landi zum Einschleusen und Ausführen von Code ausnutzen lassen.

Die zweite geschlossene Lücke betrifft einen Zero-Day-Exploit für Firefox, den der Hacker “Nils” beim diesjährigen Pwn2own-Wettbewerb vorgestellt hatte. Neben Firefox waren auch andere Browser, unter anderem auch der nagelneue Internet Explorer 8, beim Wettbewerb mit neuen Exploits konfrontiert worden. Für die Hersteller war es eine Herausforderung, als erster einen Patch zu liefern. Dieses Rennen hat Mozilla nun offensichtlich für sich entschieden.

Schlussbemerkung:
Beim Firefox wurden zwar letztes Jahr die meisten Sicherheitslücken veröffentlicht, diese allerdings auch im Durchschnitt am Schnellsten wieder geschlossen. Dagegen dauert es beim Internet Explorer am Längsten bis Sicherheitslücken beseitigt sind (siehe hierzu auch meinen Blogbeitrag “Sicherheitslücken: Internet Explorer besonders gefährdet” ) .

Ähnliche Beiträge

• Update auf Firefox 3.6.3 empfohlen!
• Firefox 3.0.10 schließt eine Sicherheitslücke
• Update auf Firefox 3.6.2 empfohlen!
• Firefox 3.0.11 schließt elf Sicherheitslücken
• Firefox 3.0.9 schließt mehrere Sicherheitslücken

Permalink | Kein Kommentar | Seite speichern bei Twitter | Mister Wong | del.icio.us | Y!GG | Linkarena
Schlagwörter: Browser, Exploit, Firefox, Internet Explorer, Sicherheitslücken

Auf der Webseite von Secunia kann man diesen englischen Bericht nach einer Registrierung kostenlos anfordern und dann als pdf-Datei zugemailt bekommen.

Bemerkenswert finde ich folgende Informationen bezüglich bekanntgegebener Sicherheitslücken bei Browsern und Plugins im Jahr 2008:

Damit wurde für den Firefox mit Abstand die meisten Sicherheitslücken entdeckt und gemeldet.

Aber

• die Sicherheitslücken beim Firefox wurden deutlich schneller geschlossen als beim Internet Explorer (innerhalb von 43 statt 101 Tagen) und
• eine noch viel größere Zahl an Sicherheitslücken gibt es bei dem standardmäßig aktivierten ActiveX für Windows, das ein großes Einfallstor für Sicherheitslücken bei der Nutzung des Internet Explorers (IE) darstellt (siehe nachfolgende Tabelle und den Artikel “ActiveX – Windows’ Achillesferse” bei Netzwelt.de).

Desweiteren stellen die Sicherheitsexperten von Secunia fest, dass auch weiterhin Software von Microsoft das bevorzugte Ziel für Angriffe darstellte. Bei Sicherheitslücken, die ausgenutzt wurden, bevor der Öffentlichkeit technische Einzelheiten oder gar ein Patch zum Schließen zur Verfügung standen, gab es 2008 (12) gegenüber 2007 (20) einen erfreulichen Rückgang. Allerdings betrafen davon neun der 12 Sicherheitslücken Software von Microsoft und die drei weiteren Sicherheitslücken betrafen ActiveX-Anwendungen von Drittherstellern.

Mein Fazit:
Wer aus welchen Gründen auch immer Windows als Betriebssystem benutzt, sollte möglichst ActiveX deaktivieren und einen anderen Browser als den Internet Explorer verwenden.

Eine Anleitung zum Deaktivieren von ActiveX gibt es beispielsweise bei Netzwelt.de.

Kostenlose Alternativen zum Internet Explorer findest Du beispielsweise in meinem Blogbeitrag “Warum der Internet Explorer 6 weg muss!“.

Kommentare

• 16. März 2009, Naddi schreibt: Ich bin echt froh dass mein Freund mir den Firefox installiert hat. Nach allem was ich schon über den Internet Explorer gelesen haben würde ich mich damit im Internet überhaupt nicht mehr sicher fühlen...
• 16. März 2009, Dieter schreibt:

  Ich bin echt froh dass mein Freund mir den Firefox installiert hat.

  Ich denke, da hat er Dir einen Gefallen getan.

  Nach allem was ich schon über den Internet Explorer gelesen haben würde ich mich damit im Internet überhaupt nicht mehr sicher fühlen.

  Leider gibt es im Internet viele schwarze Schafe. Es gilt sich vor Betrügern zu schützen. Mit dem Wechsel zu einem anderen Browser hast Du einen wichtigen Schritt in die richtige Richtung unternommen. Für den Firefox gibt es da auch hilfreiche Addons wie beispielsweise Web of Trust (WOT) und Flagfox.
• 25. Dezember 2010, IE 6: Hinweis auf veralteten Browser | Dieter Welzel schreibt: [...] veralteten Browser. Den Internet Explorer Version 6 (oder noch älter!). Bitte installiere aus Sicherheitsgründen, aber auch aus anderen Gründen einen der vielen kostenlosen modernen [...]
• 29. November 2011, Hinweis zum Internet Explorer bei WordPress | Webseiten-Infos.de schreibt: [...] aus Sicherheitsgründen, aber auch aus anderen Gründen, empfehle ich Dir einen anderen Browser als den Internet [...]
• 29. November 2011, Warum der Internet Explorer 6 weg muss! | Webseiten-Infos.de schreibt: [...] aus Sicherheitsgründen, aber auch aus anderen Gründen, empfehle ich Dir einen anderen Browser als den Internet Explorer [...]
• 21. Dezember 2011, WordPress: Wider dem Katastrophen-Gerede | Webseiten-Infos.de schreibt: [...] regelmäßig schnell geschlossen. Diesbezüglich sei für den Firefox auf meinen Blogbeitrag “Sicherheitslücken: Internet Explorer besonders gefährdet” [...]
• 21. Dezember 2011, Firefox 3.5.5 steht zum Download bereit | Webseiten-Infos.de schreibt: [...] sei erneut auf meinen Blogbeitrag “Sicherheitslücken: Internet Explorer besonders gefährdet” [...]

Ähnliche Beiträge

• BSI warnt vor Internet Explorer
• Firefox 3.0.8 schließt zwei Sicherheitslücken
• Firefox 3.5.5 steht zum Download bereit
• Firefox 3.5.4 steht zum Download bereit
• Tabellendaten sortieren

Permalink | 7 Kommentare | Seite speichern bei Twitter | Mister Wong | del.icio.us | Y!GG | Linkarena
Schlagwörter: ActiveX, Browser, Firefox, Firefox-Addon, Internet Explorer, Opera, Safari, Sicherheitslücken