SeaMonkey 1.1.4 schließt Sicherheitslücke

Mozilla-Entwickler stopfen URI-Lücke in Browser-Suite

Nachdem die Mozilla-Entwickler die URI-Sicherheitslücke im Zusammenspiel zwischen Firefox bzw. Thunderbird und dem Internet Explorer 7 eingedämmt haben, steht nun auch das entsprechende Update für die Browser-Suite SeaMonkey bereit. Dritte können die Lücke ausnutzen, um Programme auf fremden Rechnern zu starten.

Anzeige

Die Sicherheitslücke tritt nur unter Windows XP im Zusammenspiel mit dem Internet Explorer 7 auf und erlaubt es, fremden Programmcode auf Windows-Computern auszuführen. Dabei kommen gleich zwei Probleme zusammen. Zum einen lassen sich URIs für bestimmte Protokolle nutzen, um je nach Dateiendung eine bestimmte Anwendung auf dem System des Nutzers zu starten. Hierzu müssen die URIs mit "%00" bzw. "%" versehen werden - ist der Pfad bekannt, kann so ein Programm ausgeführt werden.

Eine zweite Sicherheitslücke ermöglicht dann auch noch, den so aufgerufenen Programmen Parameter zu übergeben. SeaMonkey 1.1.4 korrigiert die bekannten Möglichkeiten, um die Sicherheitslücken auszunutzen. Das eigentliche Problem soll jedoch bestehen bleiben, da es nach Angaben der Mozilla-Entwickler im Windows-Shell-API steckt. So sollen auch weitere Programme wie Miranda und Skype betroffen sein. Die Sicherheitslücken wurden zuvor schon in Firefox 2.0.0.6 und Thunderbird 2.0.0.6 eingedämmt.

Die neue SeaMonkey-Version grenzt darüber hinaus noch eine weitere Sicherheitslücke ein, die bei Add-Ons auftritt, die eine "about:blank"-Seite öffnen. Prinzipiell müssen jedoch auch die Entwickler der betroffenen Add-Ons ihren Code überarbeiten.

SeaMonkey 1.1.4 steht ab sofort zum Download für verschiedene Betriebssysteme bereit. Die Entwickler empfehlen allen Nutzern älterer Versionen - insbesondere Anwendern, die sogar noch alte Netscape-Versionen im Einsatz haben -, auf die neue SeaMonkey-Version zu aktualisieren, da in allen Veröffentlichungen vor SeaMonkey 1.1.3 und 1.1.4 bekannte Sicherheitslücken stecken.


Golem-Mitarbeiter 08. Aug 2007

Trollvernichter 08. Aug 2007

haste keinen Friseur?

SM 08. Aug 2007

Das Update steht seit dem 3.8.2007 bereits auf den ftp-Servern. Hallo Golem, aufwachen....

Kommentieren



Anzeige

  1. Entwicklungsingenieure (m/w) - Dieselmotormanagement
    IAV GmbH, Gaimersheim (Raum Ingolstadt), Gifhorn, Neckarsulm
  2. SAP Basis Berater (m/w)
    4brands Reply GmbH & Co. KG, Gütersloh
  3. IT-Spezialist / Betriebsmittelplaner (m/w)
    Leopold Kostal GmbH & Co. KG, Lüdenscheid
  4. Mitarbeiter für Qualitätssicherung und Dokumentation Softwareherstellung (m/w)
    über Schultz & Partner Unternehmens- & Personalberatung, Bremen

 

Detailsuche


Blu-ray-Angebote
  1. NEU: Nachts im Museum 2 [Blu-ray]
    7,99€
  2. NEU: Fantastic Four [Blu-ray]
    7,97€
  3. Ghostbusters 2 - Sie sind zurück (4K Mastered) [Blu-ray]
    7,99€

 

Weitere Angebote


Folgen Sie uns
       


  1. Dirt Rally

    Klassischer Motorsport im Early Access

  2. Netzpolitik

    Oettinger forciert Vorratsdatenspeicherung auf EU-Ebene

  3. KDE Plasma 5.3 im Test

    Ein Desktop, der Energie versprüht

  4. Musikindustrie

    Größte Bittorrent-Tracker abgeschaltet

  5. Test State Of Decay Survival Edition

    Alte Zombies in neuem Gewand

  6. Weltraumspiel

    Kerbal Space Program ist gestartet

  7. Debian 8 angeschaut

    Das unsanfte Upgrade auf Systemd

  8. Crowdfunding

    Kickstarter startet offiziell in Deutschland

  9. Dragon Age Inquisition

    200 Stunden, 15.840 Handlungspfade und Zehntausende von Bugs

  10. Exacto

    Selbstlenkende Gewehrmunition wird Realität



Haben wir etwas übersehen?

E-Mail an news@golem.de



Raspberry Pi im Garteneinsatz: Wasser marsch!
Raspberry Pi im Garteneinsatz
Wasser marsch!
  1. Hummingboard angetestet Heiß und anschlussfreudig
  2. Onion Omega Preiswertes Bastelboard für OpenWrt
  3. GCHQ Bastelnde Spione bauen Raspberry-Pi-Cluster

Flex Shape Gripper: Zuschnappen wie ein Chamäleon
Flex Shape Gripper
Zuschnappen wie ein Chamäleon
  1. Windkraftwerke Kletterroboter überprüft Windräder
  2. Care-O-bot Der Gentleman-Roboter gibt sich die Ehre
  3. Roboter Festos Falter fliegen fleißig

Fuzzing: Wie man Heartbleed hätte finden können
Fuzzing
Wie man Heartbleed hätte finden können
  1. Fehlersuche LLVM integriert eigenes Fuzzing-Werkzeug
  2. Mozilla Firefox 37 bringt Zertifikatsperren und Nutzerfeedback
  3. IT-Sicherheit Regierung fördert Forschung mit 180 Millionen Euro

  1. Endlich etwas was RBR-Nachfolger werden könnte!

    abdul el alamein | 16:27

  2. Re: "Raubkopierer" und "Piraten" vs. "Mafia...

    muhzilla | 16:27

  3. Re: Das soll er auf Englisch sagen^^

    Hassashin | 16:26

  4. Re: Sowas gibt es doch praktisch gar nicht mehr.

    der_wahre_hannes | 16:26

  5. Re: Bevor ich wechsle fehlt leider:

    SelfEsteem | 16:25


  1. 15:40

  2. 14:03

  3. 14:00

  4. 13:17

  5. 13:00

  6. 12:21

  7. 12:03

  8. 11:00


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel