Abo
  • Services:
Anzeige

Sicherheits-Update auch für Thunderbird

Mozilla-Entwickler stopfen URI-Lücke auch in ihrem E-Mail-Client

Nachdem die Mozilla-Entwickler die URI-Lücke im Zusammenspiel zwischen Firefox und Internet Explorer 7 eindämmten, folgt nun auch ein entsprechendes Update für den E-Mail-Client Thunderbird. Die Sicherheitslücke erlaubt es Dritten, Applikationen auf fremden Rechnern zu starten und ist nicht auf die Mozilla-Produkte beschränkt.

Die Sicherheitslücke die unter Window XP im Zusammenspiel mit dem Internet Explorer 7 auftritt, erlaubt es, fremden Code auf Windows-Rechnern auszuführen. Dabei kommen zwei Sicherheitslücken zusammen. Das eine von Billy Rios und Nate McFeters entdeckte Problem: URIs für bestimmte Protokolle lassen sich nutzen um eine Applikation auf dem System des Nutzers zu öffnen, je nach angegebener Datei-Endung. Dazu müssen die URIs mit "%00" bzw. "%" versehen werden, dann werden sie an einen Datei-Handler übergeben. So lassen sich Programme, deren Pfad bekannt ist, starten.

Anzeige

Das Problem tritt dann auf, wenn URIs für Protokolle in einer Applikation aufgerufen werden, die für diese nicht zuständig ist und sie stattdessen an eine andere übergibt. Bei Firefox ist dies beispielsweise "mailto", was eigentlich den E-Mail-Client aufrufen sollte, bei zum Beispiel Thunderbird "http".

Zusätzlich gefährlich wird dies durch eine zweite von Jesper Johansson entdeckte Lücke, durch die sich der aufgerufenen Applikation in begrenztem Rahmen Parameter übergeben lassen.

Firefox 2.0.0.6 und nun auch Thunderbird 2.0.0.6 sollen die bisher bekannten Möglichkeiten, eine dieser Sicherheitslücke zu nutzen, beseitigen - das eigentliche Problem bleibt aber bestehen, so die Mozilla-Entwickler. Das problematische Verhalten sei Teil des Windows-Shell-API und daher auch andere Internet-Applikationen neben Firefox betroffen. Heise Security dokumentiert die Probleme bei der URI-Übergabe auch bei Skype und Miranda.

Thunderbird 2.0.0.6 steht ab sofort unter mozilla.com zum Download bereit. Details zu den Änderungen finden sich in den Release Notes.


eye home zur Startseite
throgh 02. Aug 2007

Etwas was Linux besser macht als Windows ist die Behandlung und Protokollierung von...


OSNote / 02. Aug 2007



Anzeige

Stellenmarkt
  1. T-Systems International GmbH, Leinfelden-Echterdingen, München, Frankfurt/Main
  2. Hauni Maschinenbau GmbH, Hamburg
  3. TE Connectivity Germany GmbH, Bensheim
  4. T-Systems International GmbH, Leinfelden-Echterdingen, München


Anzeige
Top-Angebote
  1. (alle Angebote versandkostenfrei, u. a. Xbox One Special Edition Controller je 37,00€, Game of...
  2. für je 11,99€
  3. 22,46€

Folgen Sie uns
       

Anzeige
Whitepaper
  1. Globale SAP-Anwendungsunterstützung durch Outsourcing
  2. Kritische Bereiche der IT-Sicherheit in Unternehmen
  3. Potenzialanalyse für eine effiziente DMS- und ECM-Strategie


  1. Videostreaming

    Twitch Premium wird Teil von Amazon Prime

  2. Dark Souls & Co.

    Tausende Tode vor Tausenden von Zuschauern

  3. Die Woche im Video

    Grüne Welle und grüne Männchen

  4. Systemd.conf 2016

    Pläne für portable Systemdienste und neue Kernel-IPC

  5. Smartphones und Tablets

    Bundestrojaner soll mehr können können

  6. Internetsicherheit

    Die CDU will Cybersouverän werden

  7. 3D-Flash-Speicher

    Micron stellt erweiterte Fab 10X fertig

  8. Occipital

    VR Dev Kit ermöglicht Roomscale-Tracking per iPhone

  9. XPG SX8000

    Adatas erste PCIe-NVMe-SSD nutzt bewährte Komponenten

  10. UBBF2016

    Telefónica will 2G-Netz in vielen Ländern abschalten



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Microsoft: Das bringt Windows Server 2016
Microsoft
Das bringt Windows Server 2016
  1. Microsoft Windows Server 2016 wird im September fertig

Soziale Netzwerke: Wie ich einen Betrüger aufspürte und seine Mama kontaktierte
Soziale Netzwerke
Wie ich einen Betrüger aufspürte und seine Mama kontaktierte
  1. iOS 10 und WatchOS 3.0 Apple bringt geschwätzige Tastatur-App zum Schweigen
  2. Rio 2016 Fancybear veröffentlicht medizinische Daten von US-Sportlern
  3. Datenbanksoftware Kritische, ungepatchte Zeroday-Lücke in MySQL-Server

Canon vs. Nikon: Superzoomer für unter 250 Euro
Canon vs. Nikon
Superzoomer für unter 250 Euro
  1. Snap Spectacles Snapchat stellt Sonnenbrille mit Kamera vor
  2. MacOS 10.12 Fujitsu warnt vor der Nutzung von Scansnap unter Sierra
  3. Bildbearbeitungs-App Prisma offiziell für Android erhältlich

  1. Re: endlich wird's den deutschen autobauern mal...

    Luke321 | 12:03

  2. Re: Ein Beispiel woraus man lernen könnte

    glasen77 | 11:52

  3. Re: Blaues Licht? - Wohl kaum.

    jhp | 11:48

  4. Re: 100 PS und 500 km Reichweite wären völlig...

    Neutrinoseuche | 11:37

  5. In Deutschland bald 250 MBit/s, in Bamberg jetzt...

    jouleian | 11:37


  1. 11:45

  2. 11:04

  3. 09:02

  4. 08:01

  5. 19:24

  6. 19:05

  7. 18:25

  8. 17:29


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel