Sicherheitsluecke im neuen Firestorm ...

Diese gestern veröffentlichte Information fand ich heute auf der Seite New World Notes, betrieben von Wagner James Au. Er macht da auf eine Sicherungslücke im Firestorm aufmerksam (übersetzt):

*Media on a Prim ist eine coole Second Life-Funktion, die es Nutzern ermöglicht, webbasierte Medieninhalte auf Primitive in der virtuellen Welt zu streamen. Sie wird jetzt auch für eine Sicherheitslücke genutzt.*

Im Second Life Community Forum fand ich das original Posting von Amer Aaron:


Übersetzung:

*Heute war ich in einem rental office und bemerkte ein paar Leute, die sich im Empfangsbereich aufhielten. Ich dachte mir nichts dabei, als plötzlich und gleichzeitig mein Viewer (der neueste Firestorm) die Suche öffnete und einige anstößige Wörter im Textfeld erschienen, sowie ein Fenster "Neue Gruppe erstellen", in dem einige Fehler auf dem Bildschirm angezeigt wurden. Ich ging schnell weg und schloss alle diese Fenster. Es war eine ziemlich beängstigende Erfahrung, und ich war nur einen Klick davon entfernt, auf OK zu klicken, um eine zufällige Gruppe zu erstellen, die 100 L$ kostet.

Ich habe keine Ahnung, wer oder was das verursacht hat, aber als erfahrener Avatar hätte ich nie gedacht, dass es möglich ist, die Eingaben eines anderen Benutzers auf diese Weise zu kontrollieren.*


Wenn man dann etwas nach unten scrollt, findet man die Antwort von Whirly Fizzle (Firestorm Viewer Support):

Übersetzung:

*Danke.

Ja, diese Form des Griefings ist in den letzten Tagen immer wieder aufgetaucht. Es verwendet Media on a Prim (MOAP), um diese Floater auf Ihrem Bildschirm zu öffnen.

Wenn Sie die Medien im Viewer deaktivieren, wird dies unterbunden.

Linden Lab hat am
Donnerstag einen ModalHotfix-Viewer veröffentlicht, um dieses Problem zu beheben.

Für den Firestorm Viewer wird hoffentlich morgen ein neuer Beta-Viewer mit dem Fix herauskommen.
Um die Firestorm-Beta zu erhalten, treten Sie bitte der "Phoenix-Firestorm Preview Group" bei und die Beta wird in der Gruppenmitteilung verschickt.

Dieses Problem betrifft alle Viewer, die noch nicht den Linden Lab Patch haben.

HINWEIS: Auch auf den gepatchten Viewern ist MOAP immer noch in der Lage, die Suche zu öffnen und platziert den Floater auf dem Bildschirm eines Benutzers.*


Weiter unten steht von ihr noch:


Übersetzung:

*Es ist einfach eine clevere Nutzung der Viewer-Medien.
Obwohl es sehr beängstigend erscheint, ist alles, was auf ungepatchten Viewern getan werden kann, ein beliebiger Viewer-Floater auf dem Bildschirm zu öffnen, wenn die Medien geladen werden, sowie benutzerdefinierten Text in das Suchfenster oder TOS-Fenster usw. einzugeben.
Natürlich möchte ich nicht erklären, wie es gemacht wird, bevor jeder den Fix hat. Ich wünschte, ich könnte es, denn dann wäre es weniger beängstigend, wenn man sieht, was tatsächlich passiert.
Ich will nur sagen, dass die Medien eigentlich gar nicht auf eine Webseite verweisen und dass sie unterstützte Funktionen im Viewer verwenden.
Ich bin überrascht, dass noch nie ein Betrüger auf die Idee gekommen ist, das auf diese Weise zu nutzen.

Machen Sie sich also bitte keine Sorgen - es ist extrem ärgerlich, aber letztlich harmlos.
Ich vermute, dass Linden Lab es schnell gepatcht hat, weil es bei denjenigen, die davon betroffen waren, verständlicherweise für viel Unruhe gesorgt hat.*


Diese Gruppe ist gratis: secondlife:///app/group/7ba4569c-9dd9-fed2-aaa7-36065d18a13c/about

Ich bin in der Phoenix-Firestorm Preview Group, doch bis jetzt konnte ich da noch keine Information über ein Fix finden.

Firestorm Blog
Twitter

Kommentare

Beliebte Posts

Wusstet ihr das schon: Es gibt da etwas Hilfreiches, gratis Shoe Bases …

Simtipp: Decopunk Metropolis (Adult)

Angel of Pain Photo Contest 2024: Einsamkeit (for english version please scroll down)

Einfuehrung in den Charakter-Designer (Alpha)

Simtipp: Cherishville - Winter 2024 (Moderat)