Firefox 2.0.0.6 grenzt URI-Lücke ein

Windows XP mit Internet Explorer 7 gefährdet

Eine Sicherheitslücke die bei Firefox unter Window XP im Zusammenspiel mit dem Internet Explorer 7 auftritt, erlaubt es, fremden Code auf Windows-Rechnern auszuführen. Firefox 2.0.0.6 schränkt die mit dieser Sicherheitslücke zusammenhängende Gefahr ein, schließt aber die Lücke nicht ganz. Auch andere Applikationen als Firefox sind von dem Problem betroffen, denn der Fehler steckt wohl im Verhalten des Windows-Shell-API.

Anzeige

Laut Mozilla tritt der Fehler bei Firefox nur auf, wenn der Browser unter Windows XP läuft und zudem Microsofts Internet Explorer 7 installiert ist. Dabei kommen zwei Sicherheitslücken zusammen. Das eine von Billy Rios und Nate McFeters entdeckte Problem: URIs für bestimmte Protokolle wie "mailto:" lassen sich nutzen um eine Applikation auf dem System des Nutzers zu öffnen, je nach angegebener Datei-Endung. Dazu müssen die URIs mit "%00" bzw. "%" versehen werden, dann werden sie an einen Datei-Handler übergeben. So lassen sich Programme, deren Pfad bekannt ist, starten.

Zusätzlich gefährlich wird dies durch eine zweite von Jesper Johansson entdeckte Lücke, durch die sich der aufgerufenen Applikation in begrenztem Rahmen Parameter übergeben lassen.

Firefox 2.0.0.6 soll nun die bisher bekannten Möglichkeiten, eine dieser Sicherheitslücke zu nutzen, beseitigen - das eigentliche Problem bleibt aber bestehen, so die Mozilla-Entwickler. Das problematische Verhalten sei Teil des Windows-Shell-API und daher auch andere Internet-Applikationen neben Firefox betroffen. Heise Security dokumentiert die Probleme bei der URI-Übergabe auch bei Skype und Miranda.

Ein Umweg um die Fehler einzudämmen ist, Firefox beim Aufruf von mailto:-URIs fragen zu lassen. Dies lässt sich über "about:config" einstellen. Dazu werden die Einträge "network.protocol-handler.warn-externa" für die Protokolle mailto, news, nntp, und snews auf "true" gesetzt.

Firefox 2.0.0.6 steht ab sofort unter mozilla.com zum Download bereit. Details zu den Änderungen finden sich in den Release Notes. Eine neue Version von Thunderbird soll folgen, da hier das Problem ebenfalls auftritt, nur eben im Zusammenspiel mit anderen Protokollen.

Kommentarübersicht
dafür skriptfehler...
noch treuer FF... 02. Aug 2007

...bin ich der einzige, der seit diese update ein problem mit skripts hat???

da kommen zwei Sicherheitslücken zusammen ;D
urk di burk urk 01. Aug 2007

"wenn der Browser unter Windows XP läuft und zudem Microsofts Internet Explorer 7...

Kommentieren

Trackbacks

Das Open Source Weblog / 01. Aug 2007

Firefox 2.0.0.6 Sicherheitsupdate

Javascript Blog / 31. Jul 2007

Neue Firefox-Version

Anwälte in Vulkane werfen / 31. Jul 2007

n00b! U g0t n0 cLu3 h0w 53cUr1Ty w0rX!

DimidoBlog / 31. Jul 2007

Firefox 2.0.0.6 - Sicherheitsupdate

Anzeige
Stellenmarkt
  1. IT Service Manager/P&I Consultant (m/w) Cash Management
    Siemens AG, München
  2. Online-Mediendesigner / Mediengestalter (m/w) Online / Digital
    Heise Medien Gruppe GmbH & Co. KG, Rostock
  3. Test Manager (m/w)
    Wirecard Technologies GmbH, Aschheim near Munich
  4. Web-Entwickler Java/C# (m/w)
    comspace GmbH & Co. KG, Bielefeld

 

Detailsuche

Folgen Sie uns
       
Videos
Prizmo 2 macht das iPad und iPhone zum Textscanner Prizmo 2 macht das iPad und iPhone zum Textscanner
Ticker
  1. Need for Speed Rivals

    Verfolgungsjagden zwischen Cops und Rasern

  2. Digitimes

    Windows-8-Tablets sollen 8 Prozent des Marktes erreichen

  3. Doc Patch

    Das Grundgesetz wird Open Data

  4. Bibliotheca Augusta

    Bibliothek stellt Buchscans unter Creative-Commons-Lizenz

  5. 802.11ac

    Erster Chipsatz für WLAN mit 1,7 GBit/s

  6. Windenergie

    Google kauft Hersteller von Windkraftwerken

  7. Amazon

    App-Shop für Android als Browser-Version gestartet

  8. Atari

    Rollercoaster Tycoon ab 3,5 Millionen US-Dollar im Angebot

  9. Legale Privatkopien

    "EU-Vorschlag würde freies Kopieren erlauben"

  10. Ausprobiert

    Das neue Google Maps ist beeindruckend schnell

Newsletter-Abo
Haben wir etwas übersehen?

E-Mail an news@golem.de

Anzeige
Tastatur
Logitech: iPad-Tastatur mit Kabel
Logitech
iPad-Tastatur mit Kabel

Tastaturen werden an das iPad normalerweise schnurlos per Bluetooth angebunden. Doch Logitech hat nun ein Modell vorgestellt, das per Lightning-Kabel oder 30-Pin-Adapter mit dem Tablet verbunden wird. Es ist besonders für die Anforderungen von Schulen konstruiert worden.

  1. Zoomboard Tastatur mit Lupe für winzige Touchscreens
  2. Kalq-Tastatur Neues Tastenlayout zum Schnelltippen auf Touchscreens
  3. CM Storm Quickfire Stealth Tastatur fast ohne Tastenbeschriftungen
Blackberry
Blackberry Z10 im Langzeittest: Tausche Android gegen Blackberry
Blackberry Z10 im Langzeittest
Tausche Android gegen Blackberry

Mit dem Z10 versucht Blackberry ein Comeback im Smartphone-Markt. Auch Android-Anwendungen lassen sich auf dem Gerät installieren. Golem.de-Autor Tobias Költzsch hat zwei Wochen lang sein Galaxy S3 gegen das Z10 getauscht und im Langzeittest überprüft, wie schwer ein Umstieg ist.

  1. Smartphones Blackberry Q5 im Juli, Blackberry 10.1 wird verteilt
  2. Mobilfunk Fast drei Viertel der Smartphones laufen mit Android
  3. Blackberry-Chef "In fünf Jahren gibt es keine Tablets mehr"
Samsung Galaxy S4
Google-Smartphone: Galaxy S4 mit purem Android wird nur in den USA verkauft
Google-Smartphone
Galaxy S4 mit purem Android wird nur in den USA verkauft

Das von Google angekündigte Galaxy S4 mit purem Android wird ausschließlich in den USA verkauft. Google hat derzeit keine Pläne, das Samsung-Smartphone in anderen Regionen anzubieten.

  1. Samsung 10 Millionen Galaxy S4 in weniger als einem Monat verkauft
  2. Samsung Mehr als 10 Millionen Galaxy S4 in Rekordzeit verkauft
  3. Smartphone Google bringt Galaxy S4 mit purem Android
Forumsbeiträge »
  1. Doc Patch Das Grundgesetz wird Open Data

    Re: ein Grundgesetz

    Chris- | 05:43

  2. Ausprobiert Das neue Google Maps ist beeindruckend schnell

    Re: bing maps ist eh viel besser

    gollumm | 05:17

  3. Digitimes Windows-8-Tablets sollen 8 Prozent des Marktes erreichen

    Re: Der Anteil am "Tablet-Markt" ist eigentlich...

    azeu | 04:47

  4. Smartphones Kritik an Samsungs "rabiater Vorherrschaft"

    Re: Selbst Schuld

    geekflyer | 04:23

  5. Atari Rollercoaster Tycoon ab 3,5 Millionen US-Dollar im Angebot

    Re: Atari ist verflucht!

    David64Bit | 03:31

Ticker »
  1. Need for Speed Rivals Verfolgungsjagden zwischen Cops und Rasern

    21:07

  2. Digitimes Windows-8-Tablets sollen 8 Prozent des Marktes erreichen

    19:04

  3. Doc Patch Das Grundgesetz wird Open Data

    18:57

  4. Bibliotheca Augusta Bibliothek stellt Buchscans unter Creative-Commons-Lizenz

    18:20

  5. 802.11ac Erster Chipsatz für WLAN mit 1,7 GBit/s

    18:13

  6. Windenergie Google kauft Hersteller von Windkraftwerken

    16:57

  7. Amazon App-Shop für Android als Browser-Version gestartet

    16:51

  8. Atari Rollercoaster Tycoon ab 3,5 Millionen US-Dollar im Angebot

    16:11

Zum Artikel