Firefox 2.0.0.6 grenzt URI-Lücke ein

Windows XP mit Internet Explorer 7 gefährdet

Eine Sicherheitslücke die bei Firefox unter Window XP im Zusammenspiel mit dem Internet Explorer 7 auftritt, erlaubt es, fremden Code auf Windows-Rechnern auszuführen. Firefox 2.0.0.6 schränkt die mit dieser Sicherheitslücke zusammenhängende Gefahr ein, schließt aber die Lücke nicht ganz. Auch andere Applikationen als Firefox sind von dem Problem betroffen, denn der Fehler steckt wohl im Verhalten des Windows-Shell-API.

Anzeige

Laut Mozilla tritt der Fehler bei Firefox nur auf, wenn der Browser unter Windows XP läuft und zudem Microsofts Internet Explorer 7 installiert ist. Dabei kommen zwei Sicherheitslücken zusammen. Das eine von Billy Rios und Nate McFeters entdeckte Problem: URIs für bestimmte Protokolle wie "mailto:" lassen sich nutzen um eine Applikation auf dem System des Nutzers zu öffnen, je nach angegebener Datei-Endung. Dazu müssen die URIs mit "%00" bzw. "%" versehen werden, dann werden sie an einen Datei-Handler übergeben. So lassen sich Programme, deren Pfad bekannt ist, starten.

Zusätzlich gefährlich wird dies durch eine zweite von Jesper Johansson entdeckte Lücke, durch die sich der aufgerufenen Applikation in begrenztem Rahmen Parameter übergeben lassen.

Firefox 2.0.0.6 soll nun die bisher bekannten Möglichkeiten, eine dieser Sicherheitslücke zu nutzen, beseitigen - das eigentliche Problem bleibt aber bestehen, so die Mozilla-Entwickler. Das problematische Verhalten sei Teil des Windows-Shell-API und daher auch andere Internet-Applikationen neben Firefox betroffen. Heise Security dokumentiert die Probleme bei der URI-Übergabe auch bei Skype und Miranda.

Ein Umweg um die Fehler einzudämmen ist, Firefox beim Aufruf von mailto:-URIs fragen zu lassen. Dies lässt sich über "about:config" einstellen. Dazu werden die Einträge "network.protocol-handler.warn-externa" für die Protokolle mailto, news, nntp, und snews auf "true" gesetzt.

Firefox 2.0.0.6 steht ab sofort unter mozilla.com zum Download bereit. Details zu den Änderungen finden sich in den Release Notes. Eine neue Version von Thunderbird soll folgen, da hier das Problem ebenfalls auftritt, nur eben im Zusammenspiel mit anderen Protokollen.

Kommentarübersicht
dafür skriptfehler...
noch treuer FF... 02. Aug 2007

...bin ich der einzige, der seit diese update ein problem mit skripts hat???

da kommen zwei Sicherheitslücken zusammen ;D
urk di burk urk 01. Aug 2007

"wenn der Browser unter Windows XP läuft und zudem Microsofts Internet Explorer 7...

Kommentieren

Trackbacks

Das Open Source Weblog / 01. Aug 2007

Firefox 2.0.0.6 Sicherheitsupdate

Javascript Blog / 31. Jul 2007

Neue Firefox-Version

document.write("Markus Tressl"); / 31. Jul 2007

Firefox 2.0.0.6 mit 2 Sicherheitsfixes

Anwälte in Vulkane werfen / 31. Jul 2007

n00b! U g0t n0 cLu3 h0w 53cUr1Ty w0rX!

DimidoBlog / 31. Jul 2007

Firefox 2.0.0.6 - Sicherheitsupdate

Anzeige
Stellenmarkt
  1. IT-Administrator (m/w)
    TCG HERRMANN Präzisionsguss GmbH, Bretten-Gölshausen
  2. Software-Entwickler/-in im Bereich digitale Kameratechnik
    Baumer Optronic GmbH, Radeberg
  3. IT-Prozessorganisator (m/w)
    ZIMMERMANN Sanitäts- und Orthopädiehaus GmbH, Straubing
  4. Systemingenieur (m/w) Systemintegration, Versuch und Erprobung
    LFK-Lenkflugkörpersysteme GmbH, Schrobenhausen

 

Detailsuche

Folgen Sie uns
       
Videos
Thunderbolt-Adapter für Seagate-Goflex-Festplatten Thunderbolt-Adapter für Seagate-Goflex-Festplatten
Meistgelesen
  1. Acta-Demos

    Zehntausende gegen "bekACTA Scheiß" in München und Berlin
  2. Nach Hackerangriff

    Polizei-Webserver in Nordrhein-Westfalen seit 12 Tagen down
  3. Klage gegen Samsung

    Apple will Verkauf des Galaxy Nexus verhindern
  4. Lumia-Smartphones

    Nokias Offensive auch in Deutschland gescheitert
  5. WOA

    Windows 8 für ARM im Detail
Meistkommentiert
  1. IMHO: Windows 8 - Microsofts Befreiungsschlag

    Kommentare: 212 | letzter Beitrag 12:13 Uhr

  2. Acta: Deutschland setzt Unterzeichnung von Acta aus

    Kommentare: 100 | letzter Beitrag 10:35 Uhr

  3. Epic Games: Unreal Engine 4 soll in diesem Jahr "die Leute schockieren"

    Kommentare: 84 | letzter Beitrag 16:52 Uhr

  4. WOA: Keine Desktopanwendungen für Windows 8 auf ARM

    Kommentare: 60 | letzter Beitrag 10.02. 14:13

  5. Lumia-Smartphones: Nokias Offensive auch in Deutschland gescheitert

    Kommentare: 59 | letzter Beitrag 16:54 Uhr

Mehr

Ticker
  1. Browser

    Firefox 10.0.1 bringt Fehlerkorrekturen

  2. Lumia-Smartphones

    Nokias Offensive auch in Deutschland gescheitert

  3. Klage gegen Samsung

    Apple will Verkauf des Galaxy Nexus verhindern

  4. Nach Hackerangriff

    Polizei-Webserver in Nordrhein-Westfalen seit 12 Tagen down

  5. Acta-Demos

    Zehntausende gegen "bekACTA Scheiß" in München und Berlin

  6. Nasa

    Mögliche Etatkürzungen gefährden Mars-Erforschung

  7. Golem.de guckt

    Zuckerberg und Assange

  8. Steam-Hack

    Einbrecher könnten Kreditkartendaten kopiert haben

  9. HTTPS gesperrt

    Iran weitet Internetzensur aus

  10. Paypal-Konkurrent

    Dwolla will seine Dienste weltweit anbieten

Newsletter-Abo
Haben wir etwas übersehen?

E-Mail an news@golem.de

Acta
Acta: Piratenpartei ruft zu Protesten in 50 deutschen Städten auf
Acta
Piratenpartei ruft zu Protesten in 50 deutschen Städten auf

Die Piratenpartei hat die Liste für die Demonstrationen gegen Acta online gestellt. In rund 50 Städten soll es in Deutschland Proteste geben, 19 Länder in Europa sind einbezogen. Polens Regierung tritt bereits den Rückzug an.

Activision Blizzard
Blizzard: Diablo 3 erscheint im zweiten Quartal 2012
Blizzard
Diablo 3 erscheint im zweiten Quartal 2012

Call of Duty Elite 2.0 kommt, Blizzard legt sich wegen Dota 2 mit Valve an und die Gewinne steigen: Beim Spielekonzern Activision Blizzard tut sich derzeit viel. Zusammen mit Geschäftszahlen wurde nun sogar ein Zeitrahmen für die Veröffentlichung von Diablo 3 genannt.

Mobilfunk
EU-Datenroaming: Nur noch maximal 50 Cent/MByte ab Juli angestrebt
EU-Datenroaming
Nur noch maximal 50 Cent/MByte ab Juli angestrebt

Das Europäische Parlament will den Maximalpreis für den mobilen Internetzugriff im EU-Ausland ab Juli 2012 auf 50 Cent pro MByte verringern. Bis Mitte 2014 ist eine Absenkung auf 20 Cent pro MByte vorgesehen. Auch der SMS-Versand und Handygespräche sollen billiger werden.

  1. Überwachung Funkzellenabfrage wird zum Instrument für alle Fälle
  2. Rich Communication Suite-enhanced Netzbetreiber starten neuen Handydienst
  3. Berliner Auto-Brandstiftungen Polizei richtet Funkzellenauswertung gegen Hunderttausende
Forumsbeiträge »
  1. Windows 8 auf ARM Microsoft zeigt Office 15

    Re: Verschiedene Oberflächen...?

    metalheim | 17:02

  2. Klage gegen Samsung Apple will Verkauf des Galaxy Nexus verhindern

    Re: Wie lange will Apple das noch machen bei dem...

    redmord | 17:02

  3. Lumia-Smartphones Nokias Offensive auch in Deutschland gescheitert

    Re: Ihr könnt das dritte Ecosystem nicht aufhalten...

    Wireman | 17:01

  4. Epic Games Unreal Engine 4 soll in diesem Jahr "die Leute schockieren"

    Re: Unreal Engine 4 soll in diesem Jahr "die...

    Hotohori | 17:01

  5. Acta-Demos Zehntausende gegen "bekACTA Scheiß" in München und Berlin

    Re: "bekACTA Scheiß"

    striker2009 | 17:01

Ticker »
  1. Browser Firefox 10.0.1 bringt Fehlerkorrekturen

    14:09

  2. Lumia-Smartphones Nokias Offensive auch in Deutschland gescheitert

    13:59

  3. Klage gegen Samsung Apple will Verkauf des Galaxy Nexus verhindern

    13:52

  4. Nach Hackerangriff Polizei-Webserver in Nordrhein-Westfalen seit 12 Tagen down

    21:30

  5. Acta-Demos Zehntausende gegen "bekACTA Scheiß" in München und Berlin

    19:49

  6. Nasa Mögliche Etatkürzungen gefährden Mars-Erforschung

    14:35

  7. Golem.de guckt Zuckerberg und Assange

    14:30

  8. Steam-Hack Einbrecher könnten Kreditkartendaten kopiert haben

    13:27

Zum Artikel