Firefox 2.0.0.6 grenzt URI-Lücke ein

Windows XP mit Internet Explorer 7 gefährdet

Eine Sicherheitslücke die bei Firefox unter Window XP im Zusammenspiel mit dem Internet Explorer 7 auftritt, erlaubt es, fremden Code auf Windows-Rechnern auszuführen. Firefox 2.0.0.6 schränkt die mit dieser Sicherheitslücke zusammenhängende Gefahr ein, schließt aber die Lücke nicht ganz. Auch andere Applikationen als Firefox sind von dem Problem betroffen, denn der Fehler steckt wohl im Verhalten des Windows-Shell-API.

Anzeige

Laut Mozilla tritt der Fehler bei Firefox nur auf, wenn der Browser unter Windows XP läuft und zudem Microsofts Internet Explorer 7 installiert ist. Dabei kommen zwei Sicherheitslücken zusammen. Das eine von Billy Rios und Nate McFeters entdeckte Problem: URIs für bestimmte Protokolle wie "mailto:" lassen sich nutzen um eine Applikation auf dem System des Nutzers zu öffnen, je nach angegebener Datei-Endung. Dazu müssen die URIs mit "%00" bzw. "%" versehen werden, dann werden sie an einen Datei-Handler übergeben. So lassen sich Programme, deren Pfad bekannt ist, starten.

Zusätzlich gefährlich wird dies durch eine zweite von Jesper Johansson entdeckte Lücke, durch die sich der aufgerufenen Applikation in begrenztem Rahmen Parameter übergeben lassen.

Firefox 2.0.0.6 soll nun die bisher bekannten Möglichkeiten, eine dieser Sicherheitslücke zu nutzen, beseitigen - das eigentliche Problem bleibt aber bestehen, so die Mozilla-Entwickler. Das problematische Verhalten sei Teil des Windows-Shell-API und daher auch andere Internet-Applikationen neben Firefox betroffen. Heise Security dokumentiert die Probleme bei der URI-Übergabe auch bei Skype und Miranda.

Ein Umweg um die Fehler einzudämmen ist, Firefox beim Aufruf von mailto:-URIs fragen zu lassen. Dies lässt sich über "about:config" einstellen. Dazu werden die Einträge "network.protocol-handler.warn-externa" für die Protokolle mailto, news, nntp, und snews auf "true" gesetzt.

Firefox 2.0.0.6 steht ab sofort unter mozilla.com zum Download bereit. Details zu den Änderungen finden sich in den Release Notes. Eine neue Version von Thunderbird soll folgen, da hier das Problem ebenfalls auftritt, nur eben im Zusammenspiel mit anderen Protokollen.


noch treuer FF... 02. Aug 2007

...bin ich der einzige, der seit diese update ein problem mit skripts hat???

urk di burk urk 01. Aug 2007

"wenn der Browser unter Windows XP läuft und zudem Microsofts Internet Explorer 7...

Kommentieren


Das Open Source Weblog / 01. Aug 2007

Firefox 2.0.0.6 Sicherheitsupdate

DimidoBlog / 31. Jul 2007

Firefox 2.0.0.6 - Sicherheitsupdate



Anzeige

  1. Rollout Applikateur (m/w)
    Bosch Communication Center Magdeburg GmbH, Magdeburg
  2. Usability Engineer (m/w)
    OMICRON electronics GmbH, Klaus (Österreich)
  3. Oracle Entwickler/in
    NKK Programm Service AG, Regensburg
  4. Software-Entwickler .NET (m/w)
    SYSTECS Informationssysteme GmbH, Leinfelden-Echterdingen

 

Detailsuche


Spiele-Angebote
  1. Grand Theft Auto V [PC Download]
    53,99€ (Vorbesteller-Preisgarantie) USK 18 - Release 14.04.
  2. GTA 5 (PC)
    59,00€ (Vorbesteller-Preisgarantie) USK 18 - Release 14.04.
  3. TIPP: Xbox One Wired Controller für Windows
    43,99€

 

Weitere Angebote


Folgen Sie uns
       


  1. Steam Machines

    Von A wie Alienware bis Z wie Zotac

  2. Steam Controller ausprobiert

    Konkurrenz für WASD und Maus

  3. Fujitsu Laboratories

    Software wertet Bewegungen auf schlechten Videos aus

  4. Spionage

    Auf der Jagd nach einem Gespenst

  5. Bundesnetzagentur

    Telefónica klagt gegen Mobilfunkauktion

  6. Vivaldi-Browser

    Neue Technical Preview bringt Verbesserungen

  7. TLS-Schwachstelle

    Freak-Angriff auch unter Windows möglich

  8. Apple

    iPad Pro soll mit USB 3.0 und Maussteuerung kommen

  9. Harmonix

    Rock Band 4 mit Gitarre und Schlagzeug

  10. Patentanmeldung

    Apple will iPhone wasserdicht machen



Haben wir etwas übersehen?

E-Mail an news@golem.de



OxygenOS von Oneplus: "Wir wollen keine Funktionen entwickeln, die nerven"
OxygenOS von Oneplus
"Wir wollen keine Funktionen entwickeln, die nerven"
  1. Oneplus One-Smartphone bekommt Lollipop erst im März
  2. Alternatives ROM Paranoid Android schließt sich Oneplus an
  3. OxygenOS Oneplus greift auf Paranoid-Android-Entwickler zurück

Modulares Smartphone im Hands on: Kinder spielen Lego, Große spielen Ara
Modulares Smartphone im Hands on
Kinder spielen Lego, Große spielen Ara
  1. Project Ara Erster Hersteller hat rund 100 Smartphone-Module fertig
  2. Modulares Smartphone Googles neuer Project-Ara-Prototyp
  3. Project Ara Erstes modulares Smartphone vorerst nur für Puerto Rico

Leistungsschutzrecht: Wie die VG Media der Google-Konkurrenz das Leben schwermacht
Leistungsschutzrecht
Wie die VG Media der Google-Konkurrenz das Leben schwermacht
  1. Anhörung im Bundestag Leistungsschutzrecht findet Unterstützer
  2. Google-Chef Eric Schmidt sieht schon wieder das Ende des Internets
  3. Europäisches Leistungsschutzrecht Oettinger droht wieder mit der Google-Steuer

  1. Re: Total Pottenhässlich das Teil...

    cypeak | 13:16

  2. Re: Anfangen!

    baz | 13:16

  3. Re: Kategorisierung der Steam OS-Games je Steam...

    azeu | 13:13

  4. Re: Vorteil iPad Pro vs Konkurrenz

    Dwalinn | 13:13

  5. Dodge Jumps/Lift Jumps weiß einer mehr?

    lujuice | 13:13


  1. 12:39

  2. 12:04

  3. 11:55

  4. 11:36

  5. 11:27

  6. 10:30

  7. 09:07

  8. 08:16


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel