Firefox 2.0.0.6 grenzt URI-Lücke ein

Windows XP mit Internet Explorer 7 gefährdet

Eine Sicherheitslücke die bei Firefox unter Window XP im Zusammenspiel mit dem Internet Explorer 7 auftritt, erlaubt es, fremden Code auf Windows-Rechnern auszuführen. Firefox 2.0.0.6 schränkt die mit dieser Sicherheitslücke zusammenhängende Gefahr ein, schließt aber die Lücke nicht ganz. Auch andere Applikationen als Firefox sind von dem Problem betroffen, denn der Fehler steckt wohl im Verhalten des Windows-Shell-API.

Anzeige

Laut Mozilla tritt der Fehler bei Firefox nur auf, wenn der Browser unter Windows XP läuft und zudem Microsofts Internet Explorer 7 installiert ist. Dabei kommen zwei Sicherheitslücken zusammen. Das eine von Billy Rios und Nate McFeters entdeckte Problem: URIs für bestimmte Protokolle wie "mailto:" lassen sich nutzen um eine Applikation auf dem System des Nutzers zu öffnen, je nach angegebener Datei-Endung. Dazu müssen die URIs mit "%00" bzw. "%" versehen werden, dann werden sie an einen Datei-Handler übergeben. So lassen sich Programme, deren Pfad bekannt ist, starten.

Zusätzlich gefährlich wird dies durch eine zweite von Jesper Johansson entdeckte Lücke, durch die sich der aufgerufenen Applikation in begrenztem Rahmen Parameter übergeben lassen.

Firefox 2.0.0.6 soll nun die bisher bekannten Möglichkeiten, eine dieser Sicherheitslücke zu nutzen, beseitigen - das eigentliche Problem bleibt aber bestehen, so die Mozilla-Entwickler. Das problematische Verhalten sei Teil des Windows-Shell-API und daher auch andere Internet-Applikationen neben Firefox betroffen. Heise Security dokumentiert die Probleme bei der URI-Übergabe auch bei Skype und Miranda.

Ein Umweg um die Fehler einzudämmen ist, Firefox beim Aufruf von mailto:-URIs fragen zu lassen. Dies lässt sich über "about:config" einstellen. Dazu werden die Einträge "network.protocol-handler.warn-externa" für die Protokolle mailto, news, nntp, und snews auf "true" gesetzt.

Firefox 2.0.0.6 steht ab sofort unter mozilla.com zum Download bereit. Details zu den Änderungen finden sich in den Release Notes. Eine neue Version von Thunderbird soll folgen, da hier das Problem ebenfalls auftritt, nur eben im Zusammenspiel mit anderen Protokollen.


noch treuer FF... 02. Aug 2007

...bin ich der einzige, der seit diese update ein problem mit skripts hat???

urk di burk urk 01. Aug 2007

"wenn der Browser unter Windows XP läuft und zudem Microsofts Internet Explorer 7...

Kommentieren


Das Open Source Weblog / 01. Aug 2007

Firefox 2.0.0.6 Sicherheitsupdate

DimidoBlog / 31. Jul 2007

Firefox 2.0.0.6 - Sicherheitsupdate



Anzeige

  1. Projektmanager (m/w) Nachrichtentechnik im Bereich B2B Solutions
    Unitymedia GmbH, Kerpen, Stuttgart
  2. Referent (m/w) Dokumentation / Marketing
    Spirax Sarco GmbH, Konstanz
  3. Anwendungsbetreuerin / Anwendungsbetreuer von Baustellendokumentationssyst- emen
    Ed. Züblin AG, Stuttgart
  4. Functional Owner Software Download (m/w)
    Da Vinci Engineering GmbH, Stuttgart

 

Detailsuche


Spiele-Angebote
  1. VORBESTELLBAR: Guild Wars 2 Heart of Thorns Vorverkaufsbox
    44,99€ (Vorbesteller-Preisgarantie)
  2. The Witcher 3: Wild Hunt
    44,99€ USK 18
  3. VORBESTELLAKTION: Tom Clancy's Rainbow Six Siege
    ab 59,95€ (Vorbesteller-Preisgarantie) - Vorbesteller erhalten Beta-Zugang - Release 13.10.

 

Weitere Angebote


Folgen Sie uns
       


  1. NSA-Affäre

    Merkel wohl über Probleme mit No-Spy-Abkommen informiert

  2. Sexting und Slices

    Snapchat will an die Börse

  3. Microsoft Research

    Lokales Rendern spart Bandbreite beim Spiele-Streaming

  4. Fehler in aktueller iOS-Version

    Spezielle Zeichenfolge verursacht iPhone-Neustart

  5. Streaming

    EU-Untersuchung gegen Netflix und Amazon

  6. Google

    Jedes Jahr eine neue Android-Hauptversion

  7. US-Steuerbehörde

    Hunderttausend Konten kompromittiert

  8. Teststrecke

    Hyperloop wird in Kalifornien gebaut

  9. Surreal Vision

    Oculus VR kauft Spezialisten für gemischte Realität

  10. Microsoft

    Cortana kommt auf Android und iOS



Haben wir etwas übersehen?

E-Mail an news@golem.de



Apps für Googles Cardboard: Her mit der Pappe!
Apps für Googles Cardboard
Her mit der Pappe!
  1. Game of Thrones Auf der Mauer weht ein eisiger Wind
  2. VR im Journalismus So nah, dass es fast wehtut
  3. Deep angespielt "Atme tief ein und tauche durch die virtuelle Welt"

Surface 3 im Test: Tolles teures Teil
Surface 3 im Test
Tolles teures Teil
  1. Surface Pro 3 Microsoft erhöht Preise um bis zu 250 Euro
  2. Surface 3 im Hands on Das Surface ohne RT

SSD HyperX Predator im Test: Kingstons Mischung ist gelungen
SSD HyperX Predator im Test
Kingstons Mischung ist gelungen
  1. Z-Drive 6300 Neue SSD bietet bis zu 6,4 TByte Speicherplatz
  2. Crucial BX100 und MX200 im Test Mehr SSD pro Euro gibt's derzeit nicht
  3. Plextor M6e Black Edition im Kurztest Auch eine günstige SSD kann teuer erkauft sein

  1. Re: Eben mal Registriert...

    Homer Simpson | 11:53

  2. Android wird in 15 Jahren sterben.

    Leo K. | 11:51

  3. Re: Wozu Spiele Streamen?

    dabbes | 11:51

  4. Re: Faulheit der Entwickler

    cepe | 11:51

  5. Re: In Deutschland unvorstellbar...

    plutoniumsulfat | 11:50


  1. 11:39

  2. 11:30

  3. 11:20

  4. 11:18

  5. 10:35

  6. 10:28

  7. 09:51

  8. 09:42


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel