SeaMonkey 1.1.4 schließt Sicherheitslücke

Mozilla-Entwickler stopfen URI-Lücke in Browser-Suite

Nachdem die Mozilla-Entwickler die URI-Sicherheitslücke im Zusammenspiel zwischen Firefox bzw. Thunderbird und dem Internet Explorer 7 eingedämmt haben, steht nun auch das entsprechende Update für die Browser-Suite SeaMonkey bereit. Dritte können die Lücke ausnutzen, um Programme auf fremden Rechnern zu starten.

Anzeige

Die Sicherheitslücke tritt nur unter Windows XP im Zusammenspiel mit dem Internet Explorer 7 auf und erlaubt es, fremden Programmcode auf Windows-Computern auszuführen. Dabei kommen gleich zwei Probleme zusammen. Zum einen lassen sich URIs für bestimmte Protokolle nutzen, um je nach Dateiendung eine bestimmte Anwendung auf dem System des Nutzers zu starten. Hierzu müssen die URIs mit "%00" bzw. "%" versehen werden - ist der Pfad bekannt, kann so ein Programm ausgeführt werden.

Eine zweite Sicherheitslücke ermöglicht dann auch noch, den so aufgerufenen Programmen Parameter zu übergeben. SeaMonkey 1.1.4 korrigiert die bekannten Möglichkeiten, um die Sicherheitslücken auszunutzen. Das eigentliche Problem soll jedoch bestehen bleiben, da es nach Angaben der Mozilla-Entwickler im Windows-Shell-API steckt. So sollen auch weitere Programme wie Miranda und Skype betroffen sein. Die Sicherheitslücken wurden zuvor schon in Firefox 2.0.0.6 und Thunderbird 2.0.0.6 eingedämmt.

Die neue SeaMonkey-Version grenzt darüber hinaus noch eine weitere Sicherheitslücke ein, die bei Add-Ons auftritt, die eine "about:blank"-Seite öffnen. Prinzipiell müssen jedoch auch die Entwickler der betroffenen Add-Ons ihren Code überarbeiten.

SeaMonkey 1.1.4 steht ab sofort zum Download für verschiedene Betriebssysteme bereit. Die Entwickler empfehlen allen Nutzern älterer Versionen - insbesondere Anwendern, die sogar noch alte Netscape-Versionen im Einsatz haben -, auf die neue SeaMonkey-Version zu aktualisieren, da in allen Veröffentlichungen vor SeaMonkey 1.1.3 und 1.1.4 bekannte Sicherheitslücken stecken.


Golem-Mitarbeiter 08. Aug 2007

Trollvernichter 08. Aug 2007

haste keinen Friseur?

SM 08. Aug 2007

Das Update steht seit dem 3.8.2007 bereits auf den ftp-Servern. Hallo Golem, aufwachen....

Kommentieren



Anzeige

  1. Systemadministratoren (m/w) für SAP Basis, AIX, TSM und Applikationssupport
    Standard Life, Frankfurt am Main
  2. Patentrechercheurin / Patentrechercheur / Patent Information Specialist (m/w)
    Fraunhofer-Gesellschaft zur Förderung der angewandten Forschung e.V., München
  3. Senior Systemingenieur (m/w) Elektronischer Datenaustausch
    Diehl Informatik GmbH, Nürnberg
  4. Anwendungsentwickler Notes (m/w)
    Hornbach-Baumarkt-AG, Großraum Mannheim/Karlsruhe

 

Detailsuche


Blu-ray-Angebote
  1. 3D-Blu-rays zum Aktionspreis
    (u. a. Hobbit 1+2 je 14,97€, Gravity 14,97€, Pacific Rim 12,99€, Der große Gatsby 12,99€)
  2. 3 Blu-rays für 15 EUR
    (u. a. Giganten der Urzeit, Little Big Soldier, Wicked Blood, City Of Life And Death)
  3. NEU: Kokowääh 2 [Blu-ray]
    5,00€

 

Weitere Angebote


Folgen Sie uns
       


  1. Game Over

    Kein Game One mehr auf MTV

  2. Z1

    Samsung veröffentlicht endlich sein Tizen-Smartphone

  3. Zehn Jahre Entwicklung

    Network Manager 1.0 ist erschienen

  4. Star Citizen

    Galaktisches Update mit Lobby, Raketen und Cockpits

  5. Smrtgrips

    Die intelligenten Griffe fürs Fahrrad

  6. Messenger

    Whatsapp richtet Spam-Sperre ein

  7. Sony-Hack

    Die dubiose IP-Spur nach Nordkorea

  8. FreeBSD-Entwickler

    Linux-Foundation sponsert NTPD-Alternative

  9. Telefonabzocke

    Kaum weniger Beschwerden trotz hoher Bußgelder

  10. GSC Game World

    Entwicklerstudio von Stalker neu gegründet



Haben wir etwas übersehen?

E-Mail an news@golem.de



Stacked Memory: Lecker, Stapelchips!
Stacked Memory
Lecker, Stapelchips!

Netzverschlüsselung: Mythen über HTTPS
Netzverschlüsselung
Mythen über HTTPS
  1. Websicherheit Chrome will vor HTTP-Verbindungen warnen
  2. SSLv3 Kaspersky-Software hebelt Schutz vor Poodle-Lücke aus
  3. TLS-Verschlüsselung Poodle kann auch TLS betreffen

Jahresrückblick: Was 2014 bei Golem.de los war
Jahresrückblick
Was 2014 bei Golem.de los war
  1. In eigener Sache Golem.de sucht (Junior) Concepter/-in für Onlinewerbung
  2. In eigener Sache Golem.de offline und unplugged
  3. In eigener Sache Golem.de sucht Videoredakteur/-in

    •  / 
    Zum Artikel