Firefox 2.0.0.6 grenzt URI-Lücke ein

Windows XP mit Internet Explorer 7 gefährdet

Eine Sicherheitslücke die bei Firefox unter Window XP im Zusammenspiel mit dem Internet Explorer 7 auftritt, erlaubt es, fremden Code auf Windows-Rechnern auszuführen. Firefox 2.0.0.6 schränkt die mit dieser Sicherheitslücke zusammenhängende Gefahr ein, schließt aber die Lücke nicht ganz. Auch andere Applikationen als Firefox sind von dem Problem betroffen, denn der Fehler steckt wohl im Verhalten des Windows-Shell-API.

Anzeige

Laut Mozilla tritt der Fehler bei Firefox nur auf, wenn der Browser unter Windows XP läuft und zudem Microsofts Internet Explorer 7 installiert ist. Dabei kommen zwei Sicherheitslücken zusammen. Das eine von Billy Rios und Nate McFeters entdeckte Problem: URIs für bestimmte Protokolle wie "mailto:" lassen sich nutzen um eine Applikation auf dem System des Nutzers zu öffnen, je nach angegebener Datei-Endung. Dazu müssen die URIs mit "%00" bzw. "%" versehen werden, dann werden sie an einen Datei-Handler übergeben. So lassen sich Programme, deren Pfad bekannt ist, starten.

Zusätzlich gefährlich wird dies durch eine zweite von Jesper Johansson entdeckte Lücke, durch die sich der aufgerufenen Applikation in begrenztem Rahmen Parameter übergeben lassen.

Firefox 2.0.0.6 soll nun die bisher bekannten Möglichkeiten, eine dieser Sicherheitslücke zu nutzen, beseitigen - das eigentliche Problem bleibt aber bestehen, so die Mozilla-Entwickler. Das problematische Verhalten sei Teil des Windows-Shell-API und daher auch andere Internet-Applikationen neben Firefox betroffen. Heise Security dokumentiert die Probleme bei der URI-Übergabe auch bei Skype und Miranda.

Ein Umweg um die Fehler einzudämmen ist, Firefox beim Aufruf von mailto:-URIs fragen zu lassen. Dies lässt sich über "about:config" einstellen. Dazu werden die Einträge "network.protocol-handler.warn-externa" für die Protokolle mailto, news, nntp, und snews auf "true" gesetzt.

Firefox 2.0.0.6 steht ab sofort unter mozilla.com zum Download bereit. Details zu den Änderungen finden sich in den Release Notes. Eine neue Version von Thunderbird soll folgen, da hier das Problem ebenfalls auftritt, nur eben im Zusammenspiel mit anderen Protokollen.


noch treuer FF... 02. Aug 2007

...bin ich der einzige, der seit diese update ein problem mit skripts hat???

urk di burk urk 01. Aug 2007

"wenn der Browser unter Windows XP läuft und zudem Microsofts Internet Explorer 7...

Kommentieren


Das Open Source Weblog / 01. Aug 2007

Firefox 2.0.0.6 Sicherheitsupdate

Javascript Blog / 31. Jul 2007

Neue Firefox-Version

DimidoBlog / 31. Jul 2007

Firefox 2.0.0.6 - Sicherheitsupdate



Anzeige

  1. Manager (m/w) Wechselprozesse in SAP IS-U
    über InterSearch Personalberatung GmbH & Co. KG, Norddeutschland
  2. IT-Spezialist (m/w) für Anwendungsentwicklung
    Versicherungskammer Bayern, München
  3. Senior System Architect (m/w)
    PAYBACK GmbH, Munich
  4. Netzwerk Administrator (m/w)
    Loyalty Partner Solutions GmbH, keine Angabe

 

Detailsuche


Folgen Sie uns
       


  1. Verband

    "Uber-Verbot ruiniert Ruf der Startup-Stadt Berlin"

  2. Kabel Deutschland

    2.000 Haushalte zwei Tage von Kabelschaden betroffen

  3. Cridex-Trojaner

    Hamburger Senat bestätigt großen Schaden durch Malware

  4. Ubuntu 14.04 LTS im Test

    Canonical in der Konvergenz-Falle

  5. Überwachung

    Snowden befragt Putin in Fernsehinterview

  6. Bleichenbacher-Angriff

    TLS-Probleme in Java

  7. Cyanogenmod-Smartphone

    Oneplus One kann nur auf Einladung bestellt werden

  8. Heartbleed-Bug

    Strato und BSI warnen Nutzer

  9. Gameface Labs Mark IV

    Virtuelle, drahtlose Android-Realität mit 1440p

  10. Verbraucherwarnung

    Nokia ruft Netzteile des Lumia 2520 zurück



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Owncloud: Dropbox-Alternative fürs Heimnetzwerk
Owncloud
Dropbox-Alternative fürs Heimnetzwerk

Kaputte Zertifikate durch Heartbleed und der NSA-Skandal: Es gibt genügend Gründe, seinen eigenen Cloud-Speicher einzurichten. Wir erklären mit Owncloud auf einem Raspberry Pi, wie das funktioniert.


Cortana im Test: Gebt Windows Phone eine Stimme
Cortana im Test
Gebt Windows Phone eine Stimme

Mit Windows Phone 8.1 bringt Microsoft nicht nur lange vermisste Funktionen wie die zentrale Benachrichtigungsübersicht auf das Smartphone, sondern auch die Sprachassistentin Cortana. Diese kann den Alltag tatsächlich erleichtern - und singen.

  1. Smartphones Nokia und HTC planen Updates auf Windows Phone 8.1
  2. Ativ SE Samsungs neues Smartphone mit Windows Phone
  3. Microsoft Internet Explorer 11 für Windows Phone

Wolfenstein The New Order: "Als Ein-Mann-Armee gegen eine Übermacht"
Wolfenstein The New Order
"Als Ein-Mann-Armee gegen eine Übermacht"

B. J. Blazkowicz muss demnächst wieder die Welt retten - in einem Wolfenstein aus Schweden. Im Interview hat Golem.de mit Andreas Öjerfors, dem Senior Gameplay Designer, über verbotene Inhalte, die KI und Filmvorbilder von The New Order gesprochen.

  1. The New Order Wolfenstein erscheint ohne inhaltliche Schnitte
  2. Wolfenstein angespielt Agent Blazkowicz in historischer Mission
  3. Bethesda Zugang zur Doom-Beta führt über Wolfenstein

    •  / 
    Zum Artikel