Abo
  • Services:
Anzeige

Drei Sicherheitslöcher in Mozilla und Firefox

Ein weiteres Sicherheitsloch in Firefox 1.0 und Mozilla 1.7.5 erlaubt mit Hilfe eines installierten Flash-Plug-Ins oder des Opacity-Filters das Verstecken der Browser-Konfiguration (about:config) in einem verborgenen Frame, um darüber gezielt Änderungen an der Browser-Konfiguration vorzunehmen. Dies wäre denkbar, indem ein Angreifer eine präparierte DHTML-Seite bereitstellt, auf der etwa ein Browser-Spiel angeboten wird. Das Opfer muss dann dazu gebracht werden, auf bestimmte Bereiche innerhalb der DHTML-Seite zu klicken, so dass der Angreifer gezielt Änderungen an der Browser-Einstellung in Firefox oder Mozilla vornehmen kann. Auch für dieses Sicherheitsloch hat Michael Krax eine Beispielseite bereitgestellt.

Anzeige

Auch das dritte von Krax entdeckte Sicherheitsloch in Firefox 1.0 und Mozilla 1.7.5 stellt keine wesentliche Gefahr dar, da sich ein dadurch vorgenommener Angriffsversuch leicht enttarnen lässt. Firefox und Mozilla verhindern, dass ausführbarer Programmcode aus dem Browser auf den lokalen Rechner gezogen wird. Dies gilt aber nicht für Bilddateien, so dass ein Angreifer dem Browser eine manipulierte Bilddatei unterschieben kann, damit das Opfer das Bild respektive die ausführbare Datei auf dem eigenen Rechner lädt. Nachdem die manipulierte Datei auf den Rechner geladen ist, wird die Datei aber mit korrekter Endung angezeigt, so dass leicht erkennbar ist, dass es sich hierbei keineswegs um eine Bilddatei handelt. Auch wenn Dateiendungen vielfach auf Windows-Systemen ausgeblendet werden, gibt auch das entsprechende Icon Aufschluss darüber, dass es sich keineswegs um eine Bilddatei, sondern um eine ausführbare Datei handelt. Auch dieses Sicherheitsloch demonstriert eine passende Beispielseite.

Etwas unklar ist, warum Michael Krax mit der Bekanntgabe der Sicherheitslücken nicht gewartet hat, bis aktualisierte Windows-Versionen von Firefox und Mozilla verfügbar sind, die von Endkunden eingesetzt werden können. Derzeit stehen wohl nur Nightly Builds zur Verfügung, in denen die Sicherheitslöcher geschlossen wurden. Das Mozilla-Team wurde Ende Januar 2005 bzw. Anfang Februar 2005 über die Sicherheitslöcher informiert. Vor einigen Tagen wurden die Sicherheitslöcher geschlossen, aber es stehen noch keine aktualisierten Versionen von Firefox und Mozilla für Endanwender bereit.

 Drei Sicherheitslöcher in Mozilla und Firefox

eye home zur Startseite
Katsenkalamitaet 08. Feb 2005

Fein. Dann sind ja nur noch 95% betroffen.

Otto d.O. 08. Feb 2005

Wie sieht denn das entsprechende Icon für eine ausführbare Datei aus, damit man sie (bei...

mcfritt 08. Feb 2005

Ach weißt du, die Microsoft-Produkte sind sooo extreeem gut, da mach ich das gerne...

Katsenkalamitaet 08. Feb 2005

Wenn IBM-Viacom-TimeWarner-AOL begreifen, daß die ganze Kohle und der Zeitaufwand in den...

OstGote! 08. Feb 2005

aktuelle Firefox 1.0.1 Builds (nicht Trunk, das wären 1.1 Builds!) http://ftp.mozilla.org...



Anzeige

Stellenmarkt
  1. EOS GmbH Electro Optical Systems, Krailling
  2. KAPP GmbH & Co. KG, Coburg
  3. Landis+Gyr GmbH, Nürnberg
  4. Robert Bosch GmbH, Abstatt


Anzeige
Spiele-Angebote
  1. 32,99€
  2. 499,99€

Folgen Sie uns
       


  1. Asus Transformer Mini

    Windows-Tablet mit Tastaturhülle kostet 380 Euro

  2. Mainboard

    Intel will ab 2020 nur noch UEFI statt Bios

  3. Sackgasse

    EU-Industriekommissarin sieht Diesel am Ende

  4. Riesenbestellung

    Uber will mit 24.000 Volvo autonom Taxi fahren

  5. SuperSignal

    Vodafone Deutschland schaltet Smart-Cells ab

  6. Top Gun 3D

    Mit VR-Headset kostenlos ins Kino

  7. Übernahme

    Marvell kauft Cavium für 6 Milliarden US-Dollar

  8. Wilhelm.tel

    Weiterer Kabelnetzbetreiber schaltet Analog-TV ab

  9. Grafiktreiber

    AMDs Display-Code in Linux-Kernel aufgenommen

  10. Oneplus 5T im Test

    Praktische Änderungen ohne Preiserhöhung



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Coffee Lake vs. Ryzen: Was CPU-Multitasking mit Spielen macht
Coffee Lake vs. Ryzen
Was CPU-Multitasking mit Spielen macht
  1. Custom Foundry Intel will 10-nm-Smartphone-SoCs ab 2018 produzieren
  2. ARM-Prozessoren Macom verkauft Applied Micro
  3. Apple A11 Bionic KI-Hardware ist so groß wie mehrere CPU-Kerne

Smartphone-Kameras im Test: Die beste Kamera ist die, die man dabeihat
Smartphone-Kameras im Test
Die beste Kamera ist die, die man dabeihat
  1. Honor 7X Smartphone im 2:1-Format mit verbesserter Dual-Kamera
  2. Mini-Smartphone Jelly im Test Winzig, gewöhnungsbedürftig, nutzbar
  3. Leia RED verrät Details zum Holo-Display seines Smartphones

Xbox One X im Test: Schöner, schwerer Stromfresser
Xbox One X im Test
Schöner, schwerer Stromfresser
  1. Microsoft Xbox-Software und -Services wachsen um 21 Prozent
  2. Microsoft Xbox One emuliert 13 Xbox-Klassiker
  3. Microsoft Neue Firmware für Xbox One bietet mehr Übersicht

  1. Re: Diesel ist effektiver und kann sauberer sein

    x2k | 09:29

  2. Secureboot

    My1 | 09:29

  3. Re: Also 2022...

    Limit | 09:28

  4. Habe Valkyria Chronicles gerne gespielt...

    Salzbretzel | 09:27

  5. Re: Das Ende für FreeDOS und Co?

    sodom1234 | 09:27


  1. 08:53

  2. 08:38

  3. 07:38

  4. 07:10

  5. 17:26

  6. 17:02

  7. 16:21

  8. 15:59


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel