Firefox 2.0.0.6 grenzt URI-Lücke ein

Windows XP mit Internet Explorer 7 gefährdet

Eine Sicherheitslücke die bei Firefox unter Window XP im Zusammenspiel mit dem Internet Explorer 7 auftritt, erlaubt es, fremden Code auf Windows-Rechnern auszuführen. Firefox 2.0.0.6 schränkt die mit dieser Sicherheitslücke zusammenhängende Gefahr ein, schließt aber die Lücke nicht ganz. Auch andere Applikationen als Firefox sind von dem Problem betroffen, denn der Fehler steckt wohl im Verhalten des Windows-Shell-API.

Anzeige

Laut Mozilla tritt der Fehler bei Firefox nur auf, wenn der Browser unter Windows XP läuft und zudem Microsofts Internet Explorer 7 installiert ist. Dabei kommen zwei Sicherheitslücken zusammen. Das eine von Billy Rios und Nate McFeters entdeckte Problem: URIs für bestimmte Protokolle wie "mailto:" lassen sich nutzen um eine Applikation auf dem System des Nutzers zu öffnen, je nach angegebener Datei-Endung. Dazu müssen die URIs mit "%00" bzw. "%" versehen werden, dann werden sie an einen Datei-Handler übergeben. So lassen sich Programme, deren Pfad bekannt ist, starten.

Zusätzlich gefährlich wird dies durch eine zweite von Jesper Johansson entdeckte Lücke, durch die sich der aufgerufenen Applikation in begrenztem Rahmen Parameter übergeben lassen.

Firefox 2.0.0.6 soll nun die bisher bekannten Möglichkeiten, eine dieser Sicherheitslücke zu nutzen, beseitigen - das eigentliche Problem bleibt aber bestehen, so die Mozilla-Entwickler. Das problematische Verhalten sei Teil des Windows-Shell-API und daher auch andere Internet-Applikationen neben Firefox betroffen. Heise Security dokumentiert die Probleme bei der URI-Übergabe auch bei Skype und Miranda.

Ein Umweg um die Fehler einzudämmen ist, Firefox beim Aufruf von mailto:-URIs fragen zu lassen. Dies lässt sich über "about:config" einstellen. Dazu werden die Einträge "network.protocol-handler.warn-externa" für die Protokolle mailto, news, nntp, und snews auf "true" gesetzt.

Firefox 2.0.0.6 steht ab sofort unter mozilla.com zum Download bereit. Details zu den Änderungen finden sich in den Release Notes. Eine neue Version von Thunderbird soll folgen, da hier das Problem ebenfalls auftritt, nur eben im Zusammenspiel mit anderen Protokollen.


noch treuer FF... 02. Aug 2007

...bin ich der einzige, der seit diese update ein problem mit skripts hat???

urk di burk urk 01. Aug 2007

"wenn der Browser unter Windows XP läuft und zudem Microsofts Internet Explorer 7...

Kommentieren


Das Open Source Weblog / 01. Aug 2007

Firefox 2.0.0.6 Sicherheitsupdate

DimidoBlog / 31. Jul 2007

Firefox 2.0.0.6 - Sicherheitsupdate



Anzeige

  1. EDV-Mitarbeiter/-in
    Lebenszentrum Königsborn gGmbH, Unna
  2. Sachbearbeiter/-in SharePoint (AIDA / Finanzmarktwächter)
    Verbraucherzentrale Bundesverband e.V., Berlin
  3. Software Entwickler (m/w) für Web-Applikationen Industrie 4.0
    Continental AG, Ingolstadt
  4. Testmanager (m/w)
    MBtech Group GmbH & Co. KGaA, Ingolstadt, Regensburg bei Neutraubling

 

Detailsuche


Top-Angebote
  1. NEU: 2 TV-Staffeln auf Blu-ray für 30 EUR
    (u. a. The Big Bang Theory, Supernatural, The Vampire Diaries, The Clone Wars)
  2. NEU: 3 TV-Staffeln für 25 EUR
    (u. a. Firefly, Das Adlon, Mad Men, Family Guy, Wolfblood)
  3. TOP-PREIS: Crysis 3 Download
    2,99€

 

Weitere Angebote


Folgen Sie uns
       


  1. BSI-Sicherheitsbericht

    Hacker beschädigen Hochofen in deutschem Stahlwerk

  2. Innenminister de Maizière

    Jeder kleine Webshop muss sicher sein

  3. Smartwatch

    Pebble unterstützt Android Wear

  4. Sony-Leaks

    MPAA lobbyiert weiter für DNS-Sperren

  5. South Park S18

    Eine sehenswerte Staffel voller IT-Kritik

  6. Wiredtiger

    MongoDB übernimmt schnellen, skalierbaren Datenspeicher

  7. Trinity Desktop R14

    KDE3-Fork integriert neue Software

  8. Automatische Filterfunktion

    Facebook macht dunkle Selfies hell

  9. IT-Sicherheitsgesetz

    Kabinett beschließt Meldepflicht für Cyberangriffe

  10. Jahresrückblick

    Was 2014 bei Golem.de los war



Haben wir etwas übersehen?

E-Mail an news@golem.de



O2 Car Connection im Test: Der Spion unterm Lenkrad
O2 Car Connection im Test
Der Spion unterm Lenkrad
  1. Urban Windshield Jaguar bringt Videospiel-Feeling ins Auto
  2. Tweak Carplay ohne passendes Auto verwenden
  3. Streckenerkennung Audi-Rennwagen fährt fahrerlos auf dem Hockenheimring

Rock n' Roll Racing (1993): Nachbrenner vom Schneesturm
Rock n' Roll Racing (1993)
Nachbrenner vom Schneesturm
  1. Ultima Underworld (1992) Der revolutionäre Dungeon Simulator
  2. Sid Meier's Colonization (1994) Auf Augenhöhe mit George Washington
  3. Star Wars X-Wing (1993) Flugsimulation mit R2D2 im Nacken

Zbox Pico im Test: Der Taschenrechner, der fast alles kann
Zbox Pico im Test
Der Taschenrechner, der fast alles kann

    •  / 
    Zum Artikel