Abo
  • Services:
Anzeige

Sicherheits-Update auch für Thunderbird

Mozilla-Entwickler stopfen URI-Lücke auch in ihrem E-Mail-Client

Nachdem die Mozilla-Entwickler die URI-Lücke im Zusammenspiel zwischen Firefox und Internet Explorer 7 eindämmten, folgt nun auch ein entsprechendes Update für den E-Mail-Client Thunderbird. Die Sicherheitslücke erlaubt es Dritten, Applikationen auf fremden Rechnern zu starten und ist nicht auf die Mozilla-Produkte beschränkt.

Die Sicherheitslücke die unter Window XP im Zusammenspiel mit dem Internet Explorer 7 auftritt, erlaubt es, fremden Code auf Windows-Rechnern auszuführen. Dabei kommen zwei Sicherheitslücken zusammen. Das eine von Billy Rios und Nate McFeters entdeckte Problem: URIs für bestimmte Protokolle lassen sich nutzen um eine Applikation auf dem System des Nutzers zu öffnen, je nach angegebener Datei-Endung. Dazu müssen die URIs mit "%00" bzw. "%" versehen werden, dann werden sie an einen Datei-Handler übergeben. So lassen sich Programme, deren Pfad bekannt ist, starten.

Anzeige

Das Problem tritt dann auf, wenn URIs für Protokolle in einer Applikation aufgerufen werden, die für diese nicht zuständig ist und sie stattdessen an eine andere übergibt. Bei Firefox ist dies beispielsweise "mailto", was eigentlich den E-Mail-Client aufrufen sollte, bei zum Beispiel Thunderbird "http".

Zusätzlich gefährlich wird dies durch eine zweite von Jesper Johansson entdeckte Lücke, durch die sich der aufgerufenen Applikation in begrenztem Rahmen Parameter übergeben lassen.

Firefox 2.0.0.6 und nun auch Thunderbird 2.0.0.6 sollen die bisher bekannten Möglichkeiten, eine dieser Sicherheitslücke zu nutzen, beseitigen - das eigentliche Problem bleibt aber bestehen, so die Mozilla-Entwickler. Das problematische Verhalten sei Teil des Windows-Shell-API und daher auch andere Internet-Applikationen neben Firefox betroffen. Heise Security dokumentiert die Probleme bei der URI-Übergabe auch bei Skype und Miranda.

Thunderbird 2.0.0.6 steht ab sofort unter mozilla.com zum Download bereit. Details zu den Änderungen finden sich in den Release Notes.


eye home zur Startseite
throgh 02. Aug 2007

Etwas was Linux besser macht als Windows ist die Behandlung und Protokollierung von...

linuxgirl 02. Aug 2007

Ich freu mich auch, daß hier mal eine wirklich vernünftige Diskussion zum Thema Linux...

throgh 02. Aug 2007

Joah, das lob ich mir. So diskutiert man vernünftig (dafür sei dir schonmal mein Dank...

gfhgfhgfjh 02. Aug 2007

Sicherlich. Meiner Erfahrung nach ist der häufigste Grund für Probleme PEBKAC. Aber...

throgh 02. Aug 2007

Ich stimme dir in den meisten Punkten vollends zu. Es ist auch klar, dass das z.B...


OSNote / 02. Aug 2007



Anzeige

Stellenmarkt
  1. Rundfunk Berlin Brandenburg RBB, Berlin
  2. SCHOTT AG, Mainz
  3. Goethe-Institut e.V., München
  4. Rundfunk Berlin-Brandenburg (rbb), Köln


Anzeige
Spiele-Angebote
  1. 209,99€/219,99€ (Vorbesteller-Preisgarantie)
  2. 134,99€
  3. 399,00€ (Vorbesteller-Preisgarantie) - Release 02.08.

Folgen Sie uns
       

Anzeige
Whitepaper
  1. Mehr dazu im aktuellen Whitepaper von IBM
  2. Mehr dazu im aktuellen Whitepaper von Freudenberg IT
  3. Globale SAP-Anwendungsunterstützung durch Outsourcing


  1. Bildbearbeitung unmöglich

    Lightroom-App für Apple TV erschienen

  2. Quartalszahlen

    Apple-Gewinn bricht wegen schwächerer iPhone-Verkäufe ein

  3. SSD

    Crucial erweitert MX300-Serie um 275, 525 und 1.050 GByte

  4. Shroud of the Avatar

    Neustart der Ultima-ähnlichen Fantasywelt

  5. Spielekonsole

    In Nintendos NX stecken Nvidias Tegra und Cartridges

  6. Nach Terroranschlägen

    Bayern fordert Ausweitung der Vorratsdatenspeicherung

  7. Android-Smartphone

    Update soll Software-Probleme beim Oneplus Three beseitigen

  8. Tim Sweeney

    "Microsoft will Steam zerstören"

  9. Störerhaftung weg

    Kommt nun der Boom für offene WLANs?

  10. Fusion mit Hailo

    Mytaxi wird zum größten App-basierten Taxivermittler Europas



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Wolkenkratzer: Wer will schon 2.900 Stufen steigen?
Wolkenkratzer
Wer will schon 2.900 Stufen steigen?
  1. Hafen Die Schauerleute von heute sind riesig und automatisch
  2. Bahn Siemens verbessert Internet im Zug mit Funklochfenstern
  3. Fraunhofer-Institut Rekord mit Multi-Gigabit-Funk über 37 Kilometer

Festplatten mit Flash-Cache: Das Konzept der SSHD ist gescheitert
Festplatten mit Flash-Cache
Das Konzept der SSHD ist gescheitert
  1. Ironwolf, Skyhawk und Barracuda Drei neue 10-TByte-Modelle von Seagate
  2. 3PAR-Systeme HPE kündigt 7,68- und 15,36-TByte-SSDs an
  3. Dells XPS 13 mit Ubuntu im Test Endlich ein Top-Notebook mit Linux!

Nuki Smart Lock im Test: Ausgesperrt statt aufgesperrt
Nuki Smart Lock im Test
Ausgesperrt statt aufgesperrt

  1. Re: Frankreich hat die Vorratsdatenspeicherung

    Niaxa | 23:53

  2. Re: einverstanden

    DrWatson | 23:52

  3. Re: CH4 zu H2 ohne CO2

    cpt.dirk | 23:52

  4. Re: Linux? Tim Sweeney is jetzt an der Reihe

    RandomCitizen | 23:50

  5. Re: Selbst schuld

    stiGGG | 23:50


  1. 23:40

  2. 23:14

  3. 18:13

  4. 18:06

  5. 17:37

  6. 16:54

  7. 16:28

  8. 15:52


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel