Beantwortet: Sicherheitslücke in Firefox. VPN ausgehebelt ?

Ghost

Active Member
Eine Sicherheitslücke in Mozillas Firefox wird bereits aktiv ausgenutzt. Jetzt hat Mozilla das Update 50.0.2 veröffentlicht, in dem die Lücke geschlossen wird. Das Firefox-Update sollten Sie unbedingt herunterladen.

Zero-Day-Lücke in Firefox deckt Identität von Tor-Nutzern auf

http://www.chip.de/news/Mozilla-sto...0.2-Update-sofort-installieren_104463914.html


@PP Frank
Hat diese Lücke VPN ausgehebelt?

Ich habe in FF "Java(TM) Platform SE 8 U111" deaktiviert. Für was ist das eigentlich genau? Soll ich es wieder aktivieren?
 
Last edited:
Solution
Ich gehe sogar soweit, das die für so 0815 Foren wie dieses hier, gleich direkt neben meinen Post meine IP sehen. Und zwar sogar meine REAL IP obwohl ich mit VPN drinne bin...

Wie kommst du denn auf die Idee??

Wir garantieren KEINEN Schutz vor Behörden oder Geheimdiensten. Die haben ganz andere Möglichkeiten!"

Ja natürlich. Die werden und können deine Leitung trotzdem nicht anzapfen, da auch die an Verschlüsselung scheitern. Die setzen dir aber eher einen Trojaner auf den Rechner und direkt drauf. Ist für die viel einfacher als sinnlos versuchen den VPN auszuhebelön.


Zu der Firefox-Problematik:
Es sollte da lediglich die UMTS/LTE...

thw4

New Member
Die Lücke hat den VPN ausgehebelt, wenn dem System deine reale IP bekannt war. Das ist immer möglich, wenn jemand dein System übernehmen kann. Normalerweise surfe ich darum aus einer virtuellen Maschine heraus, die nie die reale IP zu Gesicht bekommt, weil das Wirtsystem die Internetverbindung zur Verfügung stellt, die nur Traffic zu PP durchlässt.

Java brauchst du nicht aktivieren, weil du das nur in sehr seltenen Fällen brauchst. Der normale Anwender, der keine Browserspiele spielt, braucht es nie. Ich habe Java und Flash immer deaktiviert.

JavaScript ist etwas anderes als Java und das brauchst du auf einigen Seiten für die korrekte Darstellung. Mit NoScript kannst du auswählen, welche Seite JavaScript ausführen darf, und du kannst Java komplett deaktivieren. https://addons.mozilla.org/de/firefox/addon/noscript/
 

Morbis55

Junior Member
Das Addon "uMatrix" ist deutlich intuitiver und umfangereicher und besser anpassbar.
Man kann sogar einzelne Sub-Skripte der Hauptseite zulassen/verbieten.
Auch hat es die von uBlock origin bekannten Filterlisten, wodurch ohne zutun direkt das schlimmste auf der blackliste ist.

Man kommt erstaunlich oft komplett ohne JS aus - in Gegenteil ist es sogar eine bessere Surferfahrung mit so wenig JS wie möglich.
Persönlich brauche ich das Internet vor allem für Texte, Bilder und Videos.
Die ersten beiden brauchen kein JavaScript. Wenn es mir nur darum geht komme ich auf der deutlichen Mehrheit komplett ohne JS aus.
Für Videos muss man hier und da ein Skript aktivieren. Menüs brauchen es auch öfters.
Aber mehr als das 1st Party Skript ist das dann auch nicht.

JavaScript leaked entscheidende Informationen und stellt eine potentielle Sicherheitsbedrohung dar.
Also stets per default alles blocken und manuell nur das erlauben was auch wirklich sein muss.
Pech für Werbetreibende, die müssen ihre Werbung halt direkt als Bild in die Hauptseite einbinden - so wie man es aus der Zeitung kennt.
Da gibt es auch kein BlingBling und Werbung die versucht mich zu verfolgen
 

Ghost

Active Member
@PP Frank

Wie sollen wir uns verhalten.
Was müssen wir tun?
Ist NoScript zu empfehlen oder auf jeden Fall zu verwenden?

Du sagst doch immer, am Besten man verwendet den FF ohne alles.

Ich meine, wenn es so einfach ist an die original IP zu kommen, wieso dann VPN nutzen?
 

theoth

Active Member
Kannste Dir doch selbst angucken, was geleakt wird. F12 drücken, auf network gehen und für die einzelnen js die headers ansehen. Neugierige Java-scriptlets (.js) fragen eine ganze Menge ab. Mit umatrix und Konsorten kannst Du die blockieren... Also ich bin ohne umatrix nicht unterwegs- erschreckend, was da alles so an js rumfleucht. Leider braucht man dann manchmal eine Weile, bis ein Video (z.B. bei utube) wieder funktioniert indem man nach und nach die relevanten Teile wieder erlaubt.
 

Ghost

Active Member
@theoth
Interessant, ich kannte das nicht.(F12)
PPF12.JPG

Leider sagt es mir nicht wirklich was, ich glaube, da muss man schon Informatik studiert haben.
Ich bin Kaufmann o_O

Mich würde interessieren:
Ist es wirklich so einfach, dass man an die "echte IP" rankommt?
Ein Script schreiben, dasss man in einer Webseite versteckt und bei Aufruf der Webseite ausgeführt wird.

Da bekomme ich schon etwas bedenken, was mir VPN nützt, wenn das wirklich so einfach ist.

Leider antwortet PP nicht, ob man sich sorgen machen muss.
@PP Frank Sorry, dass ich nicht Informatik studiert habe und des Öfteren "nervige" Fragen stelle.

Ich bin ja nun schon paar Jahre dabei Frank, kann es sein, dass du keinen Bock mehr hast?
 
Last edited:

Nytro87

Junior Member
Leute leute seid doch nicht so naiv!

VPN nutzt zu:
- Surfverhalten vor Websiten und Werbetrackern und ggf. Aufrufe vor neugierigen Unternehmen wie Google usw. zu verstecken
- Geoblock ggf. zu umgehen (auch wenn immer mehr Anbieter wie z.B. Netflix VPNs blacklisten!)
- Filesharing Torrent usw.
- Abmahnungen vermeiden

VPN / 5 fach Cascade mit TOR bringt 0 bei:
- wirklich illegale Scheiße Online machen...
- um sich vor GEHEIMDIENSTEN zu schützen.... Wer glaubt mit o.g. Equipment die austricksen zu können, irrt sich gewaltig! LOL

Dazu bedarf es keinerlei Belege (wobei gibt es die zu hauf, man muss nur etwas Googeln oder hier lesen...). Einfach sogenannte "Sicherheitsfirmen" Studenten oder kleine 13 jährige Hacker finden regelmäßig "Sicherheitslücken". Könnt ihr euch auch nur im Traum vorstellen wieviele Backdoors alleine die NSA, BND & Co. für den verf***ten Firefox hat??? Institutionen die 10.000ende Leute beschäftigen die den ganzen Tag nichts anderes machen Einfallstore und Angriffspunkte zu finden? 100erte! Gerade die NSA hat nahezu ein unbegrenztes Etat um solche globalen Überwachungsaktionen zu finanzieren.
Ich weiß auch garnicht warum das überhaupt angezweifelt wird, gibt die NSA doch selber zu das sie ALLES knacken können bzw. geknackt haben. Sogar das angebliche unknackbare Super-Iphone. LOL...

Ich gehe sogar soweit, das die für so 0815 Foren wie dieses hier, gleich direkt neben meinen Post meine IP sehen. Und zwar sogar meine REAL IP obwohl ich mit VPN drinne bin...

Von daher, alles nix Besonderes und gaaaaannnnz kalter Kaffe für mich. ^^
Zumal ich schon an anderen Orten geschrieben habe hier. Vor Geheimdiensten die ermitteln gegen ggf. Terrorspastis und anderen Kriminellen sollte niemand aber überhaupt niemand sich scheren. Diese Leute sollte man nicht schützen, meiner Meinung nach!

PS: Übrigens stand irgendwo in den PP Nutzungsbedingungen auch mal so ein Satz. "Wir garantieren KEINEN Schutz vor Behörden oder Geheimdiensten. Die haben ganz andere Möglichkeiten!" Dieser Satz sollte eigentlich schon alles gesagt haben...
 

PP Frank

Staff member
Ich gehe sogar soweit, das die für so 0815 Foren wie dieses hier, gleich direkt neben meinen Post meine IP sehen. Und zwar sogar meine REAL IP obwohl ich mit VPN drinne bin...

Wie kommst du denn auf die Idee??

Wir garantieren KEINEN Schutz vor Behörden oder Geheimdiensten. Die haben ganz andere Möglichkeiten!"

Ja natürlich. Die werden und können deine Leitung trotzdem nicht anzapfen, da auch die an Verschlüsselung scheitern. Die setzen dir aber eher einen Trojaner auf den Rechner und direkt drauf. Ist für die viel einfacher als sinnlos versuchen den VPN auszuhebelön.


Zu der Firefox-Problematik:
Es sollte da lediglich die UMTS/LTE Sticks direkt am Rechner betreffen, da dort die IP direkt im LAN-Adapter stehen MUSS. Wenn ihr euer iPhone als Hotspot verwendet ist das schon nicht mehr der Fall, denn dann steht da eigentlich auch nur eine private IP dort und die ist piep egal. Hinter einem Router sollte diese Problematik gar nicht auftauchen.
Im Übrigen gibt es diese Problematik nicht erst seit gestern, sondern schon immer.
Diese UMTS/LTE Sticks sollte man eh nicht nehmen, weil die Treiber und die Software in 99 Prozent der Fällen dermassen Mist ist, das ich sowas niemals auf meinen Rechner lassen würde. Wenn ihr LTE oder sonstiges wollt, dann kauft euch so einen mobilen WLAN-Hotspot, dann ist alles in Butter und auch dieses Problem hier ist weg
 
Solution

Ghost

Active Member
Die setzen dir aber eher einen Trojaner auf den Rechner und direkt drauf. Ist für die viel einfacher als sinnlos versuchen den VPN auszuhebelön.
@PP Frank
Ist das leicht umzusetzen?

Ist deine Empfehlung den FF ohne Add-ons zu nutzen noch aktuell?
Hintergrund: Ich persönlich halte mich an die Empfehlung von PP.
Wie gesagt, ich bin Kaufmann und kein Informatiker, ich muss mich auf PP verlassen können.

Ich verwende denn PP Manager und den FF ohne Add-ons.
 

PP Frank

Staff member
Ist deine Empfehlung den FF ohne Add-ons zu nutzen noch aktuell?

Gibt AddOns die durchaus sinnvoll sind. ZB wenn man echt noch Flash auf em Rechner hat, dann kann man ClickToFlash(So heisst ein Safarie-Plugin, keine Ahnung wie das bei Firefox heisst) nehmen.
Ansonsten würde ich da nicht viel nehmen. NoScript ist ja oft ganz nett, aber aus meiner Sicht meist völlig Sinnfrei. 1. MAcht das teilweise schon ziemlich Probleme, da so ziemlich jede Website heut zu Tage Javascript nutzt. 2. Wenn man dann was frei gibt, überprüft kein Mensch was genau er da eigentlich frei gibt und welche Funktionen, Scripte. Meist macht man das dann komplett.
Deswegen nutze ich sowas nicht, einfach weils mehr Ärger als Nutzen bringt.
Was man natürlich als AddON IMMER haben sollte, ist das Plugin seiner PW-Verwaltung. Ein Rechner ohne PW Verwaltung ist ein NoGo. Das machen noch viel zu wenige. Ein Account gehackt und man kann bei vielen das PW bei allen möglichen Diensten probieren und hat oft Erfolg. Nur ein PW-Manager und dessen Plugin für den Browser ermöglichen einem ANGENEHM und SINNVOLL mit Passwörtern umzugehen und sichere PW zu verwenden. Bei mir ist alles mindestens 20 Zeichen lang, zufallsgeneriert und einmalig....

Also Firefox am Besten Clean nehmen. Alles was man zusätzlich installiert, kann einem auch neue Lücken bringen oder irgendwas was der Browser an Sicherheit mitbringt aushebeln Gilt für alle Browser….. Also nur die notwendigen Sachen wie PW-Verwaltung nutzen. Und am Besten auf Mist wie Flash zu verzichten
 

Ghost

Active Member
Also nur die notwendigen Sachen wie PW-Verwaltung nutzen
Da hätte ich noch eine Frage:
Welches Add-on ist zu empfehlen?
Ich habe meine Passwörter in FF gespeichert, über eine Passwortverwaltung habe ich mir noch nie Gedanken darüber gemacht.
So wie ich das hier lese, ist ein Passwortmanager aber ein "Must-Have".

Meine Passwörter sind alle in KeePass2 gespeichert.
 

PP Frank

Staff member
Da gibt es unterschiedliche. Wichtig ist, dass man da zwischen den Geräten syncen musst. Man muss eben beachten welches OS man nutzt und welches Smartphone. Hat man ein MascBook und iOS-Geräte, dann ist sicherlich 1Password eine gute Wahl. Hat man Windows und WindowsPhone, oder MacOS und Android... Da muss man dann schauen welche Geräte unterstützt werden und wie diese gesynct werden. Gerade beim Syncronisieren. Viele trauen der Cloud nicht, obwohl nahezu alle PW-Manager die Datenbank ordentlich verschlüsseln. Es gibt natürlich berechtigte Gründe eine Cloud zum Syncen nicht zu nutzen, dann muss man drauf achten, dass die Syncronisation auch via WLAN funktioniert. Es gibt aber ebenso gute Gründe die für Cloud sprechen. Das muss jeder für sich persönlich entscheiden: Wenn man den Sync via Cloud macht, ist es natürlich NOCH Wichtiger ein ordentliches PW für die Datenbank zu nutzen. Das sollte ja aber kein Problem sein, da man sich ja nur noch das eine PW merken muss. Ist das ein ordentliches PW, dann ist auch die Speicherung in der Cloud kein Problem und eigentlich unbedenklich.

Was man aber auch beachten sollte: Pflegt die DB ordentlich. Ihr werdet immer mehr und mehr PW haben und da ist es entscheidend auch alles zu finden. Ich selbst nutze in meiner DB auch Tags und gebe allem einen ordentlichen Namen. Ich achte auch darauf, dass das Browserplugin sauber ist. Sprich ich grundsätzlich nach Erstellung des Eintrags teste, ob die PW-Verwaltung auch ordentlich das PW in die Webformulare eintragen kann und das innerhalb der PW-Verwaltung die Links zu den Login-Seiten stimmen. Ich habe hier mehr als 200 verschiedene Einträge und das wäre unerträglich, wenn die DB nicht ordentlich wäre.

Und nun stelle man sich mal vor ich hätte keine PW-Verwaltung: Über 200 Webzugänge sind UNMÖGLICH SICHER zu gestallten ohne eine. Niemand kann sich 200 PW mit mindestens 20 zufallsgenerierten Stellen merken. In einer Textdatei ist natürlich das dämlichste was man machen kann(abgesehen davon, dass eine PW-Verwaltung auch den Generator mit bringt). Ich sehe das echt oft: Textdatei unverschlüsselt auf dem Desktop, oder als Excel-Datei. Das geht echt nicht klar. Klar in der Textdatei kann man auch sichere PW verwalten, aber die liegt dann dort unverschlüsselt und jeder Angreifer kann die Textdatei ohne Mühe gleich nutzen. Eine PW-Verwaltung machts da schon schwerer.
Was dazu kommt und was man bedenken sollte: Rechner kaputt/HD im Eimer. Es ist schon gut, wenn man seine Dateien auf mehreren Geräten oder in der Cloud synct. Mehrere zig/hundert Zugänge und die Datei ist weg, ist das Schlimmste was passieren kann.
Manuelle Backups helfen da auch nur bedingt, denn oft genug ist man damit zu schlampig und macht die nicht all zu oft....
 

alter-falter

Junior Member
habe auch ne ganze Zeit no script verwendet. Aber ich sehe es mittlerweile wie Frank. Mit no script kann man nicht vernünftig online gehen. Die Seiten bauen sich nicht richtig auf und man weiss eh nie was man bei no script dann zulassen darf und was nicht. Von daher runter damit....
 

alter-falter

Junior Member
Ist es eigentlich risikoreich, wenn man statt der neuen Firefox Version 53 nur z.b. 48 oder 50 verwendet?? Wenn man nicht tausende Erweiterungen im Firefox hat sollten die Sicherheitslücken durch nicht gemachte Updates von Erweiterungen doch nicht so gross sein. Oder liege ich da falsch?
 

Morbis55

Junior Member
ja ist ein erhebliches Risiko.
Für deine Zwecke gibt es den Firefox 52 ESR, der nur mit Sicherheitsupdates versorgt wird und für 14 Monate Support bekommt.
Damit laufen die alten legacy Erweiterungen, die mit FF57 nicht mehr funktionieren, noch für rund ein Jahr

Wer bei Firefox News auf dem aktullen Stand bleiben will, dem empfehle ich folgende Seite:
https://www.soeren-hentzschel.at/
 

Nytro87

Junior Member
Ja, Firefox fixt mittlerweile mit jedem kleinen Update wie zuletzt von 53.0 auf 53.0.2 schwerste Sicherheitslücken. Es gibt sicherlich in der aktuellsten Version von 100 weitere kritische, die jetzt noch "keiner" kennt. Mit "keiner" meine ich natürlich nur Script kiddie Hacker. Behörden tun das ganz sicher... Wenn sie bekannt werden, werden sie erst gefixt das übliche Spiel. Updated man dann den Browser nicht, kennt sie jedes Hacker Kiddie und kann sie ausnutzen.

Das Beste gegen die Gefahren vor denen man sich schützen kann, sind immer noch Updates, Updates, Updates... Wenn alles immer auf den neuesten Stand ist, haben es Hacker in der Regel sehr schwer.
 

Morbis55

Junior Member
Wer mal den Tor Browser benutzt hat, sollte damit vertraut sein. Dieser baut nämlich auf die ESR version auf.
Ist halt eine Langzeitversion, die keine Featureupdates bekommt und auf dem Stand von Firefox 52 bleibt,
aber mit allen Sicherheitupdates versorgt wird. Nach 14 Monaten ist dann Schluss mit Support.
Alle 12 Monate wird ein neue ESR Version released - die nächste dann auf dem Stand von Firefox 59,
was engültig das Ende der Legacy Addons bedeuten wird - einen Tag den wir dann feiern können
 
Top