SeaMonkey 1.1.4 schließt Sicherheitslücke

Mozilla-Entwickler stopfen URI-Lücke in Browser-Suite

Nachdem die Mozilla-Entwickler die URI-Sicherheitslücke im Zusammenspiel zwischen Firefox bzw. Thunderbird und dem Internet Explorer 7 eingedämmt haben, steht nun auch das entsprechende Update für die Browser-Suite SeaMonkey bereit. Dritte können die Lücke ausnutzen, um Programme auf fremden Rechnern zu starten.

Anzeige

Die Sicherheitslücke tritt nur unter Windows XP im Zusammenspiel mit dem Internet Explorer 7 auf und erlaubt es, fremden Programmcode auf Windows-Computern auszuführen. Dabei kommen gleich zwei Probleme zusammen. Zum einen lassen sich URIs für bestimmte Protokolle nutzen, um je nach Dateiendung eine bestimmte Anwendung auf dem System des Nutzers zu starten. Hierzu müssen die URIs mit "%00" bzw. "%" versehen werden - ist der Pfad bekannt, kann so ein Programm ausgeführt werden.

Eine zweite Sicherheitslücke ermöglicht dann auch noch, den so aufgerufenen Programmen Parameter zu übergeben. SeaMonkey 1.1.4 korrigiert die bekannten Möglichkeiten, um die Sicherheitslücken auszunutzen. Das eigentliche Problem soll jedoch bestehen bleiben, da es nach Angaben der Mozilla-Entwickler im Windows-Shell-API steckt. So sollen auch weitere Programme wie Miranda und Skype betroffen sein. Die Sicherheitslücken wurden zuvor schon in Firefox 2.0.0.6 und Thunderbird 2.0.0.6 eingedämmt.

Die neue SeaMonkey-Version grenzt darüber hinaus noch eine weitere Sicherheitslücke ein, die bei Add-Ons auftritt, die eine "about:blank"-Seite öffnen. Prinzipiell müssen jedoch auch die Entwickler der betroffenen Add-Ons ihren Code überarbeiten.

SeaMonkey 1.1.4 steht ab sofort zum Download für verschiedene Betriebssysteme bereit. Die Entwickler empfehlen allen Nutzern älterer Versionen - insbesondere Anwendern, die sogar noch alte Netscape-Versionen im Einsatz haben -, auf die neue SeaMonkey-Version zu aktualisieren, da in allen Veröffentlichungen vor SeaMonkey 1.1.3 und 1.1.4 bekannte Sicherheitslücken stecken.


Golem-Mitarbeiter 08. Aug 2007

Trollvernichter 08. Aug 2007

haste keinen Friseur?

SM 08. Aug 2007

Das Update steht seit dem 3.8.2007 bereits auf den ftp-Servern. Hallo Golem, aufwachen....

Kommentieren




Anzeige

  1. IT-Administrator (m/w)
    über KÖNIGSTEINER AGENTUR, Dresden
  2. Business Analyst (m/w) Support Accounting Systems
    HAMBURG SÜD Schifffahrtsgruppe, Hamburg
  3. SOC Security Analyst (m/w) in IT Security Services
    Allianz Managed Operations & Services SE, München
  4. Web & Mobile Applications Developer (m/w)
    Maenken Kommunikation GmbH, Köln

 

Detailsuche


Folgen Sie uns
       


  1. Maynard

    Wayland-Shell für den Raspberry Pi

  2. BGH-Urteil

    Typenbezeichnung gehört in eine Werbeanzeige

  3. Startup Uber

    Privater Taxidienst Uberpop verboten

  4. Project Atomic

    Red Hat erarbeitet Host-System für Docker-Container

  5. Getac T800

    Robustes 8-Zoll-Tablet mit Windows

  6. MS-Flugsimulator X

    Flughafen Berlin-Brandenburg eröffnet

  7. Vorratsdatenspeicherung

    Totgesagte speichern länger

  8. Intel

    Broxton LTE erst 2016, Skylake-Produktion noch 2015

  9. Bitcoin-Börse

    Mtgox soll verkauft oder aufgelöst werden

  10. Samsung

    Topsmartphone mit Tizen kommt im Sommer



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Windows XP ade: Linux ist nicht nur ein Lückenfüller
Windows XP ade
Linux ist nicht nur ein Lückenfüller

Wenn der Support für Windows XP ausläuft, wird es dringend Zeit, nach einer sicheren und vor allem kostenlosen Alternative zu suchen. Linux ist dafür bestens geeignet. Bleibt nur noch die Qual der Wahl.

  1. Open Source Linux 3.15 startet in die Testphase
  2. Linux-Kernel LTO-Patch entfacht Diskussion
  3. Linux-Distribution Opensuse baut um und verschiebt Version 13.2

Robotik: Humanoide lassen sich mit dem Gehirn steuern
Robotik
Humanoide lassen sich mit dem Gehirn steuern

Der Roboter Geminoid soll bald nur durch Gedanken bewegt werden. Aber bei den Experimenten im Labor von Hiroshi Ishiguro geht es um mehr: Ishiguro will zeigen, dass Brain-Computer-Interfaces besser funktionieren, wenn das gesteuerte Objekt humanoid ist.

  1. Human Robots Roboter, menschengleich

Radeon R9 295X2 im Test: AMDs Wassermonster für 1.000-Watt-Netzteile
Radeon R9 295X2 im Test
AMDs Wassermonster für 1.000-Watt-Netzteile

Hybridkühlung, 50 Ampere auf der 12-Volt-Schiene - AMDs neue Dual-GPU-Grafikkarte ist ein kompromissloses Monster. In gut ausgestatteten High-End-PCs läuft sie dennoch problemlos und recht leise, und das so schnell, dass auch 4K-Auflösung mit allen Details spielbar wird.

  1. Schenker XMG P724 17-Zoll-Notebook mit Grafikleistung einer GTX 780 Ti
  2. Eurocom M4 13,3-Zoll-Notebook mit 3.200 x 1.800 Pixeln und i7-4940MX
  3. Nvidia Maxwell Geforce GTX 750 und GTX 750 Ti im Februar

    •  / 
    Zum Artikel