SeaMonkey 1.1.4 schließt Sicherheitslücke

Mozilla-Entwickler stopfen URI-Lücke in Browser-Suite

Nachdem die Mozilla-Entwickler die URI-Sicherheitslücke im Zusammenspiel zwischen Firefox bzw. Thunderbird und dem Internet Explorer 7 eingedämmt haben, steht nun auch das entsprechende Update für die Browser-Suite SeaMonkey bereit. Dritte können die Lücke ausnutzen, um Programme auf fremden Rechnern zu starten.

Anzeige

Die Sicherheitslücke tritt nur unter Windows XP im Zusammenspiel mit dem Internet Explorer 7 auf und erlaubt es, fremden Programmcode auf Windows-Computern auszuführen. Dabei kommen gleich zwei Probleme zusammen. Zum einen lassen sich URIs für bestimmte Protokolle nutzen, um je nach Dateiendung eine bestimmte Anwendung auf dem System des Nutzers zu starten. Hierzu müssen die URIs mit "%00" bzw. "%" versehen werden - ist der Pfad bekannt, kann so ein Programm ausgeführt werden.

Eine zweite Sicherheitslücke ermöglicht dann auch noch, den so aufgerufenen Programmen Parameter zu übergeben. SeaMonkey 1.1.4 korrigiert die bekannten Möglichkeiten, um die Sicherheitslücken auszunutzen. Das eigentliche Problem soll jedoch bestehen bleiben, da es nach Angaben der Mozilla-Entwickler im Windows-Shell-API steckt. So sollen auch weitere Programme wie Miranda und Skype betroffen sein. Die Sicherheitslücken wurden zuvor schon in Firefox 2.0.0.6 und Thunderbird 2.0.0.6 eingedämmt.

Die neue SeaMonkey-Version grenzt darüber hinaus noch eine weitere Sicherheitslücke ein, die bei Add-Ons auftritt, die eine "about:blank"-Seite öffnen. Prinzipiell müssen jedoch auch die Entwickler der betroffenen Add-Ons ihren Code überarbeiten.

SeaMonkey 1.1.4 steht ab sofort zum Download für verschiedene Betriebssysteme bereit. Die Entwickler empfehlen allen Nutzern älterer Versionen - insbesondere Anwendern, die sogar noch alte Netscape-Versionen im Einsatz haben -, auf die neue SeaMonkey-Version zu aktualisieren, da in allen Veröffentlichungen vor SeaMonkey 1.1.3 und 1.1.4 bekannte Sicherheitslücken stecken.


Golem-Mitarbeiter 08. Aug 2007

Trollvernichter 08. Aug 2007

haste keinen Friseur?

SM 08. Aug 2007

Das Update steht seit dem 3.8.2007 bereits auf den ftp-Servern. Hallo Golem, aufwachen....

Kommentieren



Anzeige

  1. Senior IT-Systemadministrator/in
    virtual solution AG, München
  2. Executive Assistant CTO (m/w)
    über delphi HR-Consulting GmbH, keine Angabe
  3. Microsoft SQL Server Datenbank & Infrastruktur Consultant (m/w)
    über 3C - Career Consulting Company GmbH, Dienstsitz München, Einsatzgebiet Raum München/Ingolstadt
  4. Softwareentwickler/-in
    Robert Bosch GmbH, Abstatt

 

Detailsuche


Folgen Sie uns
       


  1. Microsoft Lifecycle

    Verkauf von Windows 7 Home und Ultimate wurde eingestellt

  2. Adobe

    Aktuelle Flash-Sicherheitslücken bereits in Exploit-Kits

  3. Airbus

    A350-Piloten bekommen WLAN-Zugang im Cockpit

  4. Laura Poitras

    "Wir leben in dunklen Zeiten"

  5. Streaming-Dienst

    Netflix-App für Amazons Fire TV ist da

  6. Pilot tot

    Spaceship Two stürzt in der Mojave-Wüste ab

  7. Bewegungsprofile

    Dobrindt wegen "Verkehrs-Vorratsdatenspeicherung" kritisiert

  8. Anonymisierung

    Facebook ist im Tor-Netzwerk erreichbar

  9. Spielekonsole

    Neuer 20-nm-Chip für sparsamere Xbox One ist fertig

  10. Günther Oettinger

    EU-Digitalkommissar will Urheberrechtssteuer für alle



Haben wir etwas übersehen?

E-Mail an news@golem.de



Windows 10 Technical Preview ausprobiert: Die Sonne scheint aufs Startmenü
Windows 10 Technical Preview ausprobiert
Die Sonne scheint aufs Startmenü
  1. Oneget Paketmanager von Microsoft für Windows 10
  2. Build 9860 Windows 10 jetzt mit Info-Center für Benachrichtigungen
  3. Microsoft Neue Fensteranimationen für Windows 10

Data Management: Wie Hauptspeicherdatenbanken arbeiten
Data Management
Wie Hauptspeicherdatenbanken arbeiten

Keine Bußgelder: Sicherheitslücken bleiben ohne Strafen
Keine Bußgelder
Sicherheitslücken bleiben ohne Strafen
  1. Linux Foundation Die Linux-Verwalter
  2. Ressl LibreSSL-Projekt erstellt nutzerfreundliches SSL-API
  3. Bayern Datenschutzbeauftragter mahnt mangelnde Verschlüsselung an

    •  / 
    Zum Artikel