Anzeige

Firefox 2.0.0.6 grenzt URI-Lücke ein

Windows XP mit Internet Explorer 7 gefährdet

Eine Sicherheitslücke die bei Firefox unter Window XP im Zusammenspiel mit dem Internet Explorer 7 auftritt, erlaubt es, fremden Code auf Windows-Rechnern auszuführen. Firefox 2.0.0.6 schränkt die mit dieser Sicherheitslücke zusammenhängende Gefahr ein, schließt aber die Lücke nicht ganz. Auch andere Applikationen als Firefox sind von dem Problem betroffen, denn der Fehler steckt wohl im Verhalten des Windows-Shell-API.

Anzeige

Laut Mozilla tritt der Fehler bei Firefox nur auf, wenn der Browser unter Windows XP läuft und zudem Microsofts Internet Explorer 7 installiert ist. Dabei kommen zwei Sicherheitslücken zusammen. Das eine von Billy Rios und Nate McFeters entdeckte Problem: URIs für bestimmte Protokolle wie "mailto:" lassen sich nutzen um eine Applikation auf dem System des Nutzers zu öffnen, je nach angegebener Datei-Endung. Dazu müssen die URIs mit "%00" bzw. "%" versehen werden, dann werden sie an einen Datei-Handler übergeben. So lassen sich Programme, deren Pfad bekannt ist, starten.

Zusätzlich gefährlich wird dies durch eine zweite von Jesper Johansson entdeckte Lücke, durch die sich der aufgerufenen Applikation in begrenztem Rahmen Parameter übergeben lassen.

Firefox 2.0.0.6 soll nun die bisher bekannten Möglichkeiten, eine dieser Sicherheitslücke zu nutzen, beseitigen - das eigentliche Problem bleibt aber bestehen, so die Mozilla-Entwickler. Das problematische Verhalten sei Teil des Windows-Shell-API und daher auch andere Internet-Applikationen neben Firefox betroffen. Heise Security dokumentiert die Probleme bei der URI-Übergabe auch bei Skype und Miranda.

Ein Umweg um die Fehler einzudämmen ist, Firefox beim Aufruf von mailto:-URIs fragen zu lassen. Dies lässt sich über "about:config" einstellen. Dazu werden die Einträge "network.protocol-handler.warn-externa" für die Protokolle mailto, news, nntp, und snews auf "true" gesetzt.

Firefox 2.0.0.6 steht ab sofort unter mozilla.com zum Download bereit. Details zu den Änderungen finden sich in den Release Notes. Eine neue Version von Thunderbird soll folgen, da hier das Problem ebenfalls auftritt, nur eben im Zusammenspiel mit anderen Protokollen.


eye home zur Startseite
noch treuer FF... 02. Aug 2007

...bin ich der einzige, der seit diese update ein problem mit skripts hat???

urk di burk urk 01. Aug 2007

"wenn der Browser unter Windows XP läuft und zudem Microsofts Internet Explorer 7...

Kommentieren


DimidoBlog / 31. Jul 2007

Firefox 2.0.0.6 - Sicherheitsupdate



Anzeige

  1. Algorithmenentwickler/-in Smart Headline Control
    Robert Bosch GmbH, Abstatt
  2. Hardware-Integrator (m/w) für den Bereich Mobilfunk-Messtechnik
    ROHDE & SCHWARZ GmbH & Co. KG, München
  3. Manager Entwicklung Internet / Interactive (m/w)
    OSRAM GmbH, München
  4. Frontend-Entwickler (m/w) E-Commerce
    LIDL Stiftung & Co. KG, Neckarsulm, Berlin

Detailsuche



Anzeige
Spiele-Angebote
  1. VORBESTELLBAR: Final Fantasy XV Deluxe Edition (PS4/Xbox One)
    89,99€ (Vorbesteller-Preisgarantie)
  2. 5 EURO GÜNSTIGER: DOOM 100% Uncut Day One Edition inkl. Steelbook
    nur 54,99€ - Release 13.05.
  3. TIPP: Fallout 4 Uncut [PC] UK 18
    nur 24,99€ + 5,00€ Versand (Bestpreis!)

Weitere Angebote


Folgen Sie uns
       


  1. Quantum Break

    27-GByte-Patch deaktiviert das Upscaling

  2. Torsploit

    Früheres Mitglied der Tor-Entwickler half dem FBI

  3. Emulation

    Windows 95 auf der Apple Watch

  4. Valve Steam

    Zwei-Faktor-Authentifizierung hilft gegen Cheater

  5. Hitman

    Patch behindert Spielstart im Direct3D-12-Modus

  6. Peter Molyneux

    Lionhead-Studio ist Geschichte

  7. Deskmini

    Asrock zeigt Rechner mit Intels Mini-STX-Formfaktor

  8. Die Woche im Video

    Schneller, höher, weiter

  9. Ransomware

    Verfassungsschutz von Sachsen-Anhalt wurde verschlüsselt

  10. Kabelnetzbetreiber

    Angeblicher 300-Millionen-Deal zwischen Telekom und Kabel BW



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Spielebranche: "Faule Hipster" - verzweifelt gesucht
Spielebranche
"Faule Hipster" - verzweifelt gesucht
  1. Neuronale Netze Weniger Bugs und mehr Spielspaß per Deep Learning
  2. Spielebranche "Die große Schatztruhe gibt es nicht"
  3. The Long Journey Home Überleben im prozedural generierten Universum

Privacy-Boxen im Test: Trügerische Privatheit
Privacy-Boxen im Test
Trügerische Privatheit
  1. Alphabay Darknet-Marktplatz leakt Privatnachrichten durch eigene API
  2. Verteidigungsministerium Ursula von der Leyen will 13.500 Cyber-Soldaten einstellen
  3. Angebliche Zukunftstechnik Sirin verspricht sicheres Smartphone für 20.000 US-Dollar

LizardFS: Software-defined Storage, wie es sein soll
LizardFS
Software-defined Storage, wie es sein soll
  1. Security Der Internetminister hat Heartbleed
  2. Enterprise-IT Hunderte Huawei-Ingenieure haben an Telekom Cloud gearbeitet
  3. HPE Hyper Converged 380 Kleines System für das schnelle Erstellen von VMs

  1. Re: Filmkörnung...

    Sphinx2k | 23:07

  2. Privatfirmen verpflichten - siehe Ed Snowden ;-)

    User_x | 23:06

  3. Re: Hoffentlich bald mit Windows 10

    AIM-9 Sidewinder | 23:04

  4. Re: Krieg ist eine Angelegenheit der Dummen

    User_x | 23:02

  5. Re: Was ist mit Leuten die kein Handy haben?

    plutoniumsulfat | 23:01


  1. 14:52

  2. 11:42

  3. 10:08

  4. 09:16

  5. 13:13

  6. 12:26

  7. 11:03

  8. 09:01


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel