IDN-säkerhetshål i FF patchat...

[Stefan Eklinder]

 

 

Nu är en patch ute för IDN-säkerhetshålet i FF:

http://www.warp2search.net/modules.php?name=News&file=article&sid=21971

 

Nja, ingen patch du kan ladda ned typ MS-stuket utan du får hämta hem en nightbuild av FF som rättar till problemet.

 

Hoppas FF 1.1 som ska komma har åtgärdat problemet. Någon som vet?

 

---

C:\Eforum\Stefan Eklinder>|

 

E-post = Elektronisk post. Ex: ett paket med transistorer. Andra sorters post: A-post, B-post, F-post (flaskpost), K-post (kompost), Ö-post (post från Grönland). - [interworst] Yttermera

 

[Bj0rN]

Om man nu inte vill installera en nightly build så kan man ju själv fixa till hålet genom att helt enkelt stänga av IDN funktionaliteten.

 

Öppna about:config och ändra värdet på network.enableIDN till false.

 

--

"I killed my dinner with karate -

kick ´em in the face, taste the body;

shallow work is the work that I do." -Joanna Newsom

 

Stoppa mjukvarupatenten nu! http://www.ffii.se/

 

[fhe]

Eller också kan man helt enkelt ge fasen i att var blåögd nog att följa länkar man fått i mailen för att lämna sina kreditkortsnummer och lösenord :-)

 

[Hakinger]

Om man nu inte vill installera en nightly build så kan man ju själv fixa till hålet genom att helt enkelt stänga av IDN funktionaliteten.

 

Öppna about:config och ändra värdet på network.enableIDN till false.

 

Fast det där funkar bara under en session på den officiella versionen. Om du stänger ner och startar om Firefox så är du tillbaka på ruta ett.

Jag länkade om en skyddsåtgärd, där man redigerar compreg.dat, i den förra tråden om detta problem. Är man klåfingrig som fhe säger, så kan man ju göra detta tills nästa officiella version kommer.

 

[Stefan Eklinder]

Pentti H skrev:

Fast det där funkar bara under en session på den officiella versionen. Om du stänger ner och startar om Firefox så är du tillbaka på ruta ett.

 

Att Firefox ställer om till True igen?

 

Hos mig är det fortfarande False som jag ställde om till när säkerhetshålet uppenbarades, trots att stängt FF och startat om.

 

---

C:\Eforum\Stefan Eklinder>|

 

E-post = Elektronisk post. Ex: ett paket med transistorer. Andra sorters post: A-post, B-post, F-post (flaskpost), K-post (kompost), Ö-post (post från Grönland). - [interworst] Yttermera

 

[Hakinger]

Att Firefox ställer om till True igen?

 

Hos mig är det fortfarande False som jag ställde om till när säkerhetshålet uppenbarades, trots att stängt FF och startat om.

 

Näe, det står "false" forfarande, men om du startar om Firefox och provar länken (som ser ut att gå till paypal) så märker du att firefox inte blockar den längre.

Så vart det för mig (och många andra på mozilla.org) i alla fall. Jag kör den officiella Firefox: Mozilla/5.0 (Windows; U; Windows NT 5.1; en-US; rv:1.7.5) Gecko/20041107 Firefox/1.0

 

[Stefan Eklinder]

Pentti H skrev:

Näe, det står "false" forfarande, men om du startar om Firefox och provar länken (som ser ut att gå till paypal) så märker du att firefox inte blockar den längre.

 

Oki, så du menar. :-)

 

---

C:\Eforum\Stefan Eklinder>|

 

E-post = Elektronisk post. Ex: ett paket med transistorer. Andra sorters post: A-post, B-post, F-post (flaskpost), K-post (kompost), Ö-post (post från Grönland). - [interworst] Yttermera

 

[Hakinger]

Nu finns det en liten hjälp för IDN-hålet. Tillverkaren av spoofstick har uppdaterat den. Visserligen så står det i adressraden att man är på siten man tror att man är på, men spoofstick visar nu den rätta adressen.

 

För den som vill testa så finns det ett par länkar i denna tråd.

kolla inllägget: "some more phising links to play with"

 

http://forums.mozillazine.org/viewtopic.php?t=214828&start=15

 

Här kan man ladda ner spoofstick for windows 1.05.

Ladda ner filen och dra den sen till firefoxfönster och släpp den där.

 

http://www.corestreet.com/spoofstick/firefox.html

 

[inlägget ändrat 2005-02-11 11:23:23 av Pentti H]