SeaMonkey 1.1.4 schließt Sicherheitslücke

Mozilla-Entwickler stopfen URI-Lücke in Browser-Suite

Nachdem die Mozilla-Entwickler die URI-Sicherheitslücke im Zusammenspiel zwischen Firefox bzw. Thunderbird und dem Internet Explorer 7 eingedämmt haben, steht nun auch das entsprechende Update für die Browser-Suite SeaMonkey bereit. Dritte können die Lücke ausnutzen, um Programme auf fremden Rechnern zu starten.

Anzeige

Die Sicherheitslücke tritt nur unter Windows XP im Zusammenspiel mit dem Internet Explorer 7 auf und erlaubt es, fremden Programmcode auf Windows-Computern auszuführen. Dabei kommen gleich zwei Probleme zusammen. Zum einen lassen sich URIs für bestimmte Protokolle nutzen, um je nach Dateiendung eine bestimmte Anwendung auf dem System des Nutzers zu starten. Hierzu müssen die URIs mit "%00" bzw. "%" versehen werden - ist der Pfad bekannt, kann so ein Programm ausgeführt werden.

Eine zweite Sicherheitslücke ermöglicht dann auch noch, den so aufgerufenen Programmen Parameter zu übergeben. SeaMonkey 1.1.4 korrigiert die bekannten Möglichkeiten, um die Sicherheitslücken auszunutzen. Das eigentliche Problem soll jedoch bestehen bleiben, da es nach Angaben der Mozilla-Entwickler im Windows-Shell-API steckt. So sollen auch weitere Programme wie Miranda und Skype betroffen sein. Die Sicherheitslücken wurden zuvor schon in Firefox 2.0.0.6 und Thunderbird 2.0.0.6 eingedämmt.

Die neue SeaMonkey-Version grenzt darüber hinaus noch eine weitere Sicherheitslücke ein, die bei Add-Ons auftritt, die eine "about:blank"-Seite öffnen. Prinzipiell müssen jedoch auch die Entwickler der betroffenen Add-Ons ihren Code überarbeiten.

SeaMonkey 1.1.4 steht ab sofort zum Download für verschiedene Betriebssysteme bereit. Die Entwickler empfehlen allen Nutzern älterer Versionen - insbesondere Anwendern, die sogar noch alte Netscape-Versionen im Einsatz haben -, auf die neue SeaMonkey-Version zu aktualisieren, da in allen Veröffentlichungen vor SeaMonkey 1.1.3 und 1.1.4 bekannte Sicherheitslücken stecken.


Golem-Mitarbeiter 08. Aug 2007

Trollvernichter 08. Aug 2007

haste keinen Friseur?

SM 08. Aug 2007

Das Update steht seit dem 3.8.2007 bereits auf den ftp-Servern. Hallo Golem, aufwachen....

Kommentieren



Anzeige

  1. Quality Assurance & Security Manager (m/w)
    FRITZ & MACZIOL group, deutschlandweit
  2. IT-Sicherheitsbeauftragter (m/w)
    MAX-DELBRÜCK-CENTRUM FÜR MOLEKULARE MEDIZIN, Berlin
  3. Datenanalyst im Gesundheitswesen (m/w)
    Arbeitsgemeinschaft Wirtschaftlichkeitsprüfung Berlin GbR, Berlin
  4. Prozessexperte SAP-Logistik (m/w)
    Max Bögl Bauservice GmbH & Co. KG, Neumarkt (Metropolregion Nürnberg)

Detailsuche


Blu-ray-Angebote
  1. VORBESTELLBAR: Better Call Saul - Die komplette erste Season (Steelbook) (exklusiv bei Amazon.de) [Blu-ray] [Limited Edition]
    34,99€
  2. VORBESTELLBAR: Star Wars: The Complete Saga (BD) [Blu-ray]
    89,99€ (Vorbesteller-Preisgarantie)
  3. Sin City 2 - A Dame to kill for [Blu-ray]
    9,99€ FSK 18

Weitere Angebote


Folgen Sie uns
       


  1. Me Pro im Hands on

    Gigasets Einstieg in den Smartphone-Markt

  2. iOS

    Jailbreak-Malware greift 225.000 Nutzerdaten ab

  3. Wettbewerbszentrale

    Abmahnung für Zalando wegen vorgetäuschter Knappheit

  4. Nextbit Robin angeschaut

    Das Smartphone mit der intelligenten Cloud

  5. Netzneutralität

    Bund will Spezialdienste für autonome Autos - egal wozu

  6. Streaming

    Amazon-Prime-Inhalte jetzt für alle herunterladbar

  7. Epic Games

    Unreal Engine 4.9 mit mehr Grafikeffekten auf Mobilegeräten

  8. Hypervisor

    OpenBSD bekommt native Virtualisierung

  9. Streamingbox

    Amazon bereitet wohl neues Fire TV vor

  10. Elliptische Umlaufbahn

    Galileo-Satelliten werden für die Forschung eingesetzt



Haben wir etwas übersehen?

E-Mail an news@golem.de



Uberchord ausprobiert: Besser spielen statt Highscore jagen
Uberchord ausprobiert
Besser spielen statt Highscore jagen
  1. Generationen-Fernsehen Sony-Lautsprecher ist zugleich Fernbedienung fürs TV
  2. Satellit Neuer 4K-Demokanal bei SES Astra
  3. DAB+ WDR schaltet seine Mittelwellensender ab

Open Source: Sticken! Echt jetzt?
Open Source
Sticken! Echt jetzt?
  1. München CSU-Stadträte wettern über Limux
  2. Guadec15 "Beiträge zu freier Software sind zu schwer"
  3. Guadec15 "Open-Source-Software braucht Markenrechte"

Autonomes Fahren: Auf dem Highway ist das Lenkrad los
Autonomes Fahren
Auf dem Highway ist das Lenkrad los
  1. Fixie Radfahrer irritiert autonomes Google-Auto
  2. Autonome Autos Daimler würde mit Google oder Apple kooperieren
  3. Testbetrieb Öffentliche Straßen für autonom fahrende Lkw freigegeben

  1. Warum noch Smartphones mit dem Snapdragon 810?

    kvoram | 20:03

  2. Re: omg...

    Clarissa1986 | 19:59

  3. Re: Selbst SSD einbauen?

    Legacyleader | 19:58

  4. Re: Es könnte auch sein, ...

    Astorek | 19:56

  5. Der Markt ist übersättigt...

    jayjay | 19:54


  1. 18:29

  2. 17:52

  3. 17:08

  4. 16:00

  5. 15:57

  6. 15:40

  7. 15:25

  8. 13:28


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel