Anzeige

SeaMonkey 1.1.4 schließt Sicherheitslücke

Mozilla-Entwickler stopfen URI-Lücke in Browser-Suite

Nachdem die Mozilla-Entwickler die URI-Sicherheitslücke im Zusammenspiel zwischen Firefox bzw. Thunderbird und dem Internet Explorer 7 eingedämmt haben, steht nun auch das entsprechende Update für die Browser-Suite SeaMonkey bereit. Dritte können die Lücke ausnutzen, um Programme auf fremden Rechnern zu starten.

Anzeige

Die Sicherheitslücke tritt nur unter Windows XP im Zusammenspiel mit dem Internet Explorer 7 auf und erlaubt es, fremden Programmcode auf Windows-Computern auszuführen. Dabei kommen gleich zwei Probleme zusammen. Zum einen lassen sich URIs für bestimmte Protokolle nutzen, um je nach Dateiendung eine bestimmte Anwendung auf dem System des Nutzers zu starten. Hierzu müssen die URIs mit "%00" bzw. "%" versehen werden - ist der Pfad bekannt, kann so ein Programm ausgeführt werden.

Eine zweite Sicherheitslücke ermöglicht dann auch noch, den so aufgerufenen Programmen Parameter zu übergeben. SeaMonkey 1.1.4 korrigiert die bekannten Möglichkeiten, um die Sicherheitslücken auszunutzen. Das eigentliche Problem soll jedoch bestehen bleiben, da es nach Angaben der Mozilla-Entwickler im Windows-Shell-API steckt. So sollen auch weitere Programme wie Miranda und Skype betroffen sein. Die Sicherheitslücken wurden zuvor schon in Firefox 2.0.0.6 und Thunderbird 2.0.0.6 eingedämmt.

Die neue SeaMonkey-Version grenzt darüber hinaus noch eine weitere Sicherheitslücke ein, die bei Add-Ons auftritt, die eine "about:blank"-Seite öffnen. Prinzipiell müssen jedoch auch die Entwickler der betroffenen Add-Ons ihren Code überarbeiten.

SeaMonkey 1.1.4 steht ab sofort zum Download für verschiedene Betriebssysteme bereit. Die Entwickler empfehlen allen Nutzern älterer Versionen - insbesondere Anwendern, die sogar noch alte Netscape-Versionen im Einsatz haben -, auf die neue SeaMonkey-Version zu aktualisieren, da in allen Veröffentlichungen vor SeaMonkey 1.1.3 und 1.1.4 bekannte Sicherheitslücken stecken.


eye home zur Startseite
Golem-Mitarbeiter 08. Aug 2007

Trollvernichter 08. Aug 2007

haste keinen Friseur?

SM 08. Aug 2007

Das Update steht seit dem 3.8.2007 bereits auf den ftp-Servern. Hallo Golem, aufwachen....

Kommentieren



Anzeige

  1. Android-Entwickler (m/w)
    Ubilabs GmbH, Hamburg
  2. ERP-Systembetreuer (m/w) proAlpha
    über personal total SaarLorLux Werth Solutions GmbH, Region Bodensee
  3. IT-Systemadministrator (m/w)
    Unternehmensgruppe Pötschke, Kaarst
  4. IT-Security Engineer (m/w)
    Haufe Gruppe, Freiburg im Breisgau

Detailsuche



Anzeige
Hardware-Angebote
  1. PCGH-Allround-PC GTX970-Edition
    (Core i5-6500 + Geforce GTX 970)
  2. Optische Maus mit 1.600 dpi
    1,99€ inkl. Versand
  3. BESTPREIS: ASUS GeForce GTX 960 OC Black + Rise of the Tomb Raider + Need for Speed
    189,90€ inkl. Versand (Verkäufer Alternate)

Weitere Angebote


Folgen Sie uns
       


  1. Viele Rücksendungen

    Amazon-Prime-Kunde erhält Kontensperrung

  2. Gardena Smart Garden im Test

    Plug and Spray mit Hindernissen

  3. Klassiker

    Markenschutz für Amiga abgelaufen

  4. Standards der Industrie 4.0

    Eine neue Sprache für Maschinen

  5. 2-in-1

    Asus zeigt neues Transformer Book

  6. Yomo

    Sparkassen wollen Smartphone-Bank gründen

  7. Emojis

    Weg mit dem Krönchen

  8. Call of Duty

    Erste Ausblicke auf Infinite und Modern Warfare

  9. Innotek

    LG steckt neuen Fingerabdrucksensor unter das Displayglas

  10. Onlinehandel

    Streiks bei Amazon Deutschland und Aktion in Polen



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Cloudready im Test: Ein altes Gerät günstig zum Chromebook machen
Cloudready im Test
Ein altes Gerät günstig zum Chromebook machen
  1. Acer-Portfolio 2016 Vom 200-Hz-Curved-Display bis zum 15-Watt-passiv-Detachable
  2. Open Source NayuOS für Chromebooks verzichtet auf Google-Anbindung

Das Flüstern der Alten Götter im Test: Düstere Evolution
Das Flüstern der Alten Götter im Test
Düstere Evolution
  1. E-Sports ESL schließt Team Youporn aus
  2. Blizzard Hearthstone-Cheat-Tools verteilen Malware
  3. Blizzard Hearthstone sperrt alte Karten im neuen Standardmodus

PGP im Parlament: Warum mein Abgeordneter keine PGP-Mail öffnen kann
PGP im Parlament
Warum mein Abgeordneter keine PGP-Mail öffnen kann

  1. Re: Was kann Number 26 was eine andere Bank nicht...

    donadi | 12:26

  2. Re: Schlechte Vertragsbedingungen?

    baumhausbewohner | 12:25

  3. Re: Emojis sind Geschlechtslos

    theonlyone | 12:25

  4. Wir beömmeln uns hier grad...

    corpid | 12:25

  5. Re: gpg4win

    Mark24 | 12:24


  1. 12:23

  2. 12:03

  3. 11:37

  4. 11:17

  5. 10:54

  6. 10:47

  7. 10:25

  8. 10:13


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel