F-Droid meldet Sicherheitslücke in Fennec (Okt 2024)

  • 12 Antworten
  • Letztes Antwortdatum
cptechnik

cptechnik

Senior-Moderator
Teammitglied
15.355
Ich habe jetzt gerade die Meldung von Neo Store bekommen und habe dann direkt mal bei f-droid nachgeguckt...
Und jetzt meldet auch F-Droid dass...
Fennec für Android (F-Droid) "129.0.2"
eine Sicherheitslücke hat und dringend deinstalliert werden sollte...

Ich habe mal gesucht...
In diesem Internet...
Und habe nichts gefunden...
...noch nicht...
 

Anhänge

  • Screenshot_20241025-221004_1.png
    Screenshot_20241025-221004_1.png
    181,8 KB · Aufrufe: 153
  • Screenshot_20241025-221019_1.png
    Screenshot_20241025-221019_1.png
    93,2 KB · Aufrufe: 58
  • Screenshot_20241025-222034_1.png
    Screenshot_20241025-222034_1.png
    72,1 KB · Aufrufe: 52
Zuletzt bearbeitet:
  • Danke
Reaktionen: ultra50
Die Warnung kam bei mir auch gerade. Da ich Fennec nur sehr selten nutze, habe ich die App erstmal deinstalliert.
 
  • Danke
Reaktionen: cptechnik
Ich bin mal gespannt auf was sich das (die Meldung) beruft...
Ich finde nämlich im ganzen Internet nichts...
... doch da... Bei Android-Hilfe... 🙊🤦🏻‍♂️
 
holms schrieb:
Requires Update (#86) · Issues · relan / fennecbuild · GitLab
Zum Vergrößern anklicken....
...

Ticket erstellt vor 2 Wochen

There are a couple security risks, that were updated in the last 2 months.Fennec didn't get any of those updates, which makes it breachable.

One of those security risks can be seen here: HERE


Could we get an updated version?
Zum Vergrößern anklicken....

...es gibt ein paar sicherheitsrisiken, die in den letzten 2 monaten aktualisiert wurden. fennec hat keines dieser updates erhalten, was es angreifbar macht.

Eines dieser Sicherheitsrisiken kann hier eingesehen werden: HIER

Könnten wir eine aktualisierte Version bekommen?

Übersetzt mit DeepL DeepL The right app or extension for every translation...
Zum Vergrößern anklicken....
Beiträge automatisch zusammengeführt:

Here...
This type of flaw occurs when memory that has been freed is still used by the program, allowing malicious actors to add their own malicious data to the memory region to perform code execution.

Animation timelines, part of Firefox's Web Animations API, are a mechanism that controls and synchronizes animations on web pages.

"An attacker was able to achieve code execution in the content process by exploiting a use-after-free in Animation timelines," reads the security bulletin.

"We have had reports of this vulnerability being exploited in the wild."

The vulnerability impacts the latest Firefox (standard release) and the extended support releases (ESR).
Zum Vergrößern anklicken....

>>
Diese Art von Schwachstelle tritt auf, wenn Speicher, der freigegeben wurde, immer noch vom Programm verwendet wird, so dass böswillige Akteure ihre eigenen bösartigen Daten in den Speicherbereich einfügen können, um Code auszuführen.

Animations-Zeitleisten, Teil der Web Animations-API von Firefox, sind ein Mechanismus, der Animationen auf Webseiten steuert und synchronisiert.

"Ein Angreifer war in der Lage, Codeausführung im Inhaltsprozess zu erreichen, indem er ein Use-after-free in Animations-Zeitleisten ausnutzte", heißt es im Security Bulletin {en}.

"Wir haben Berichte darüber erhalten, dass diese Schwachstelle in freier Wildbahn ausgenutzt wird."

Die Schwachstelle betrifft den aktuellen Firefox (Standard Release) und die Extended Support Releases (ESR).

Übersetzt mit DeepL DeepL The right app or extension for every translation
<<
Beiträge automatisch zusammengeführt:

Hmmm...
Beiträge automatisch zusammengeführt:

Firefox im PlayStore hat Updates bekommen...

Ob die den Fennec vernachlässigen weil die kostbare Telemetrie fehlt?
 

Anhänge

  • Screenshot_20241026-083135-181.png
    Screenshot_20241026-083135-181.png
    351,5 KB · Aufrufe: 25
Zuletzt bearbeitet:
  • Danke
Reaktionen: pueh
cptechnik schrieb:
Ob die den Fennec vernachlässigen weil die kostbare Telemetrie fehlt?
Zum Vergrößern anklicken....
Hier erklärt Sören Hentschel in anderem Kontext, dass Mozilla nichts mit Fennec zu tun hat.
 
  • Danke
Reaktionen: pueh
Mull, auch ein fennec - fork ist genauso alt.

Firefox Klar ist aktuell.
Beiträge automatisch zusammengeführt:

@Joh
Jaein...

Sören Hentschel schreibt ...
  • Fennec ist nichts anderes als ein Firefox ohne Telemetrie.
  • Aber die Telemetrie kann man im Firefox ausschalten.
  • Diese Telemetrie wird aber nur verwendet um Tab sync und Push-Benachrichtigungen zu erhalten...
  • Fennec wird nicht direkt von Mozilla/Firefox betreut, sondern ist von und für "Aluhutträger", denn sie trauen Firefox nicht zu dass die Telemetrie wirklich ausgeschaltet wird...
Ob das wirklich so stimmt kann ich nicht sagen...

Fennec hat das letzte Update im August bekommen, und Firefox im Oktober...

Wenn jetzt tatsächlich irgendwelche Freiwillige daran sind aus dem freien Firefox Code die Telemetrie heraus bauen...
Vielleicht sind die gerade noch im Urlaub...
 
Zuletzt bearbeitet:
cptechnik schrieb:
Jaein...
Zum Vergrößern anklicken....
In diesem Zitat wird eher eindeutig gesagt, dass der Fennec nicht von Mozilla stammt.

"meinst du wohl den Firefox-Fork, den F-Droid anbietet. Der wird nicht „von Mozilla hergestellt“. Der via F-Droid als „Fennec“ angebotene Browser stammt von irgendwem und basiert lediglich auf Firefox von Mozilla."
 
@cptechnik Der Entwickler bei Fennec in meinem Link oben schrieb vor zwei Wochen, dass er gerade wenig Zeit hat.
 
Wer Mull als Fork von Firefox nutzt, kann/sollte das Repo von DivestOS (wo Mull seine Quelle hat) nutzen. Von dort bezogen bekommt man auch die aktuelle Version 131.0.3. I.d.R. ist das Update schon nach sehr kurzer Zeit nach dem offiziellen Release seitens Mozilla erhältlich.
 
  • Danke
Reaktionen: vonharold und cptechnik
holms schrieb:
Der Entwickler bei Fennec in meinem Link oben schrieb vor zwei Wochen, dass er gerade wenig Zeit hat.
Zum Vergrößern anklicken....
Das hast Du nicht gesagt... 🙊
relan
vor 2 Wochen
There is a major drawback: we need to build the toolchain ourselves since Fennec 129 (we used Google's NDK before). I'm short of time now, it would be wonderful if you could help with this. See some details in !63.
Zum Vergrößern anklicken....
Requires Update (#86) · Issues · relan / fennecbuild · GitLab


>>relan vor 2 wochen

es gibt einen großen Nachteil: seit Fennec 129 müssen wir die Toolchain selbst bauen (vorher haben wir Googles NDK benutzt). Mir fehlt jetzt die Zeit, es wäre wunderbar, wenn Sie dabei helfen könnten. Siehe einige Details in !63.

Übersetzt mit DeepL DeepL The right app or extension for every translation
<<


... Na also, jetzt ist die Geschichte komplett... Warum nicht gleich so...?
🤦🏻‍♂️🙊💨
Beiträge automatisch zusammengeführt:

Vielen Dank
Allen Beteiligten!
 
Zuletzt bearbeitet:
@cptechnik
cptechnik schrieb:
Na also, jetzt ist die Geschichte komplett... Warum nicht gleich so...?
🤦🏻‍♂️🙊💨
Zum Vergrößern anklicken....
Sorry, aber was soll das?

  • Du selbst hast in Beitrag #3 geschrieben, dass du im Internet dazu nichts findest.
  • Deshalb wollte ich behilflich sein und habe dir einen Link in Beitrag #4 gepostet, und noch einen zusätzlichen Hinweis zum Link in Beitrag #9 gegeben.
Und im genau diesen Link in Beitrag #4 steht genau das , was du jetzt gerade in Beitrag #11 nochmal zitiert hast.

Wenn es da dann Beschwerde darüber gibt, halt ich mich lieber raus. Da hab ich wenig List zu, sorry, kann man hoffentlich verstehen. 🤷‍♂️
 
Seit 4 Tagen gibt's ein Update, und keiner merkt's? ...Tsss... ;)
 
Du musst dich einloggen oder registrieren, um hier zu antworten.

Ähnliche Themen

C
Fehlende Updates für Fennec (F-Droid)
  • copy&paste
Antworten
5
Aufrufe
980
copy&paste
C
teddy4you
Links aus Opera in Firefox übernehmen
  • teddy4you
Antworten
3
Aufrufe
117
Meerjungfraumann
Meerjungfraumann
schnueppi
Text wrap in Firefox nightly 121
  • schnueppi
Antworten
0
Aufrufe
396
schnueppi
schnueppi
Zurück
Oben Unten