Drei Sicherheitslöcher in Mozilla und Firefox

Ein weiteres Sicherheitsloch in Firefox 1.0 und Mozilla 1.7.5 erlaubt mit Hilfe eines installierten Flash-Plug-Ins oder des Opacity-Filters das Verstecken der Browser-Konfiguration (about:config) in einem verborgenen Frame, um darüber gezielt Änderungen an der Browser-Konfiguration vorzunehmen. Dies wäre denkbar, indem ein Angreifer eine präparierte DHTML-Seite bereitstellt, auf der etwa ein Browser-Spiel angeboten wird. Das Opfer muss dann dazu gebracht werden, auf bestimmte Bereiche innerhalb der DHTML-Seite zu klicken, so dass der Angreifer gezielt Änderungen an der Browser-Einstellung in Firefox oder Mozilla vornehmen kann. Auch für dieses Sicherheitsloch hat Michael Krax eine Beispielseite bereitgestellt.

Stellenmarkt
  1. CRM/xRM-Administrator (m/w/d)
    ROPA Fahrzeug- und Maschinenbau GmbH, Herrngiersdorf
  2. Frontend-Entwickler (m/w/d)
    SOBACO Betax AG, Regensburg
Detailsuche

Auch das dritte von Krax entdeckte Sicherheitsloch in Firefox 1.0 und Mozilla 1.7.5 stellt keine wesentliche Gefahr dar, da sich ein dadurch vorgenommener Angriffsversuch leicht enttarnen lässt. Firefox und Mozilla verhindern, dass ausführbarer Programmcode aus dem Browser auf den lokalen Rechner gezogen wird. Dies gilt aber nicht für Bilddateien, so dass ein Angreifer dem Browser eine manipulierte Bilddatei unterschieben kann, damit das Opfer das Bild respektive die ausführbare Datei auf dem eigenen Rechner lädt. Nachdem die manipulierte Datei auf den Rechner geladen ist, wird die Datei aber mit korrekter Endung angezeigt, so dass leicht erkennbar ist, dass es sich hierbei keineswegs um eine Bilddatei handelt. Auch wenn Dateiendungen vielfach auf Windows-Systemen ausgeblendet werden, gibt auch das entsprechende Icon Aufschluss darüber, dass es sich keineswegs um eine Bilddatei, sondern um eine ausführbare Datei handelt. Auch dieses Sicherheitsloch demonstriert eine passende Beispielseite.

Etwas unklar ist, warum Michael Krax mit der Bekanntgabe der Sicherheitslücken nicht gewartet hat, bis aktualisierte Windows-Versionen von Firefox und Mozilla verfügbar sind, die von Endkunden eingesetzt werden können. Derzeit stehen wohl nur Nightly Builds zur Verfügung, in denen die Sicherheitslöcher geschlossen wurden. Das Mozilla-Team wurde Ende Januar 2005 bzw. Anfang Februar 2005 über die Sicherheitslöcher informiert. Vor einigen Tagen wurden die Sicherheitslöcher geschlossen, aber es stehen noch keine aktualisierten Versionen von Firefox und Mozilla für Endanwender bereit.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
 Drei Sicherheitslöcher in Mozilla und Firefox
  1.  
  2. 1
  3. 2


Katsenkalamitaet 08. Feb 2005

Fein. Dann sind ja nur noch 95% betroffen.

Otto d.O. 08. Feb 2005

Wie sieht denn das entsprechende Icon für eine ausführbare Datei aus, damit man sie (bei...

mcfritt 08. Feb 2005

Ach weißt du, die Microsoft-Produkte sind sooo extreeem gut, da mach ich das gerne...

Katsenkalamitaet 08. Feb 2005

Wenn IBM-Viacom-TimeWarner-AOL begreifen, daß die ganze Kohle und der Zeitaufwand in den...



Aktuell auf der Startseite von Golem.de
Paramount+ im Test
Paramounts peinliche Premiere

Ein kleiner Katalog an Filmen und Serien, gepaart mit vielen technischen Einschränkungen. So wird Paramount+ Disney+, Netflix und Prime Video nicht gefährlich.
Ein Test von Ingo Pakalski

Paramount+ im Test: Paramounts peinliche Premiere
Artikel
  1. Sicherheit: FBI ist zutiefst besorgt über Apples neue Verschlüsselung
    Sicherheit
    FBI ist "zutiefst besorgt" über Apples neue Verschlüsselung

    Das FBI könnte mit Apples Advanced Data Protection seinen wichtigsten Zugang zu iPhones verlieren. Doch dafür muss die Funktion von Nutzern aktiviert werden.

  2. Smartphones: Huawei schliesst große Patentverträge mit Oppo und Samsung
    Smartphones
    Huawei schliesst große Patentverträge mit Oppo und Samsung

    Huawei hat sich mit den großen Smartphoneherstellern Oppo und Samsung geeinigt, Patente zu tauschen und dafür zu zahlen.

  3. Intellectual Property: Wie aus der CPU ein System-on-Chip wird
    Intellectual Property
    Wie aus der CPU ein System-on-Chip wird

    Moderne Chips bestehen längst nicht mehr nur aus der CPU, sondern aus Hunderten Komponenten. Daher ist es nahezu unmöglich, einen Prozessor selbst zu entwickeln. Wir erklären wieso!
    Eine Analyse von Martin Böckmann

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • Gaming-Monitore -37% • Asus RTX 4080 1.399€ • PS5 bestellbar • Gaming-Laptops & Desktop-PCs -29% • MindStar: Sapphire RX 6900 XT 799€ statt 1.192€, Apple iPad (2022) 256 GB 599€ statt 729€ • Samsung SSDs -28% • Logitech Mäuse, Tastaturen & Headsets -53% [Werbung]
    •  /