Drei Sicherheitslöcher in Mozilla und Firefox

Ein weiteres Sicherheitsloch in Firefox 1.0 und Mozilla 1.7.5 erlaubt mit Hilfe eines installierten Flash-Plug-Ins oder des Opacity-Filters das Verstecken der Browser-Konfiguration (about:config) in einem verborgenen Frame, um darüber gezielt Änderungen an der Browser-Konfiguration vorzunehmen. Dies wäre denkbar, indem ein Angreifer eine präparierte DHTML-Seite bereitstellt, auf der etwa ein Browser-Spiel angeboten wird. Das Opfer muss dann dazu gebracht werden, auf bestimmte Bereiche innerhalb der DHTML-Seite zu klicken, so dass der Angreifer gezielt Änderungen an der Browser-Einstellung in Firefox oder Mozilla vornehmen kann. Auch für dieses Sicherheitsloch hat Michael Krax eine Beispielseite bereitgestellt.

Stellenmarkt
  1. Cloud Engineer - Administrator (m/w/d)
    MULTIVAC Sepp Haggenmüller SE & Co. KG, Wolfertschwenden
  2. Agile Software Entwickler (m/w/d) Java
    binaris-informatik, Langenfeld
Detailsuche

Auch das dritte von Krax entdeckte Sicherheitsloch in Firefox 1.0 und Mozilla 1.7.5 stellt keine wesentliche Gefahr dar, da sich ein dadurch vorgenommener Angriffsversuch leicht enttarnen lässt. Firefox und Mozilla verhindern, dass ausführbarer Programmcode aus dem Browser auf den lokalen Rechner gezogen wird. Dies gilt aber nicht für Bilddateien, so dass ein Angreifer dem Browser eine manipulierte Bilddatei unterschieben kann, damit das Opfer das Bild respektive die ausführbare Datei auf dem eigenen Rechner lädt. Nachdem die manipulierte Datei auf den Rechner geladen ist, wird die Datei aber mit korrekter Endung angezeigt, so dass leicht erkennbar ist, dass es sich hierbei keineswegs um eine Bilddatei handelt. Auch wenn Dateiendungen vielfach auf Windows-Systemen ausgeblendet werden, gibt auch das entsprechende Icon Aufschluss darüber, dass es sich keineswegs um eine Bilddatei, sondern um eine ausführbare Datei handelt. Auch dieses Sicherheitsloch demonstriert eine passende Beispielseite.

Etwas unklar ist, warum Michael Krax mit der Bekanntgabe der Sicherheitslücken nicht gewartet hat, bis aktualisierte Windows-Versionen von Firefox und Mozilla verfügbar sind, die von Endkunden eingesetzt werden können. Derzeit stehen wohl nur Nightly Builds zur Verfügung, in denen die Sicherheitslöcher geschlossen wurden. Das Mozilla-Team wurde Ende Januar 2005 bzw. Anfang Februar 2005 über die Sicherheitslöcher informiert. Vor einigen Tagen wurden die Sicherheitslöcher geschlossen, aber es stehen noch keine aktualisierten Versionen von Firefox und Mozilla für Endanwender bereit.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
 Drei Sicherheitslöcher in Mozilla und Firefox
  1.  
  2. 1
  3. 2


Katsenkalamitaet 08. Feb 2005

Fein. Dann sind ja nur noch 95% betroffen.

Otto d.O. 08. Feb 2005

Wie sieht denn das entsprechende Icon für eine ausführbare Datei aus, damit man sie (bei...

mcfritt 08. Feb 2005

Ach weißt du, die Microsoft-Produkte sind sooo extreeem gut, da mach ich das gerne...

Katsenkalamitaet 08. Feb 2005

Wenn IBM-Viacom-TimeWarner-AOL begreifen, daß die ganze Kohle und der Zeitaufwand in den...

OstGote! 08. Feb 2005

aktuelle Firefox 1.0.1 Builds (nicht Trunk, das wären 1.1 Builds!) http://ftp.mozilla.org...



Aktuell auf der Startseite von Golem.de
Google
Neues Pixel 6 kostet 650 Euro

Das Pixel 6 Pro mit Telekamera und schnellerem Display kostet ab 900 Euro. Google verbaut erstmals einen eigenen Prozessor.

Google: Neues Pixel 6 kostet 650 Euro
Artikel
  1. M1 Pro/Max: Dieses Apple Silicon ist gigantisch
    M1 Pro/Max
    Dieses Apple Silicon ist gigantisch

    Egal ob AMD-, Intel- oder Nvidia-Hardware: Mit dem M1 Pro und dem M1 Max schickt sich Apple an, die versammelte Konkurrenz zu düpieren.
    Eine Analyse von Marc Sauter

  2. Klimaforscher: Das Konzept der Klimaneutralität ist eine gefährliche Falle
    Klimaforscher
    Das Konzept der Klimaneutralität ist eine gefährliche Falle

    Mit der Entnahme von CO2 in den nächsten Jahrzehnten netto auf null Emissionen zu kommen, klingt nach einer guten Idee. Ist es aber nicht, sagen Klimaforscher.
    Von James Dyke, Robert Watson und Wolfgang Knorr

  3. Kalter Krieg 2.0?: Die Aufregung um Chinas angebliche Hyperschallwaffe
    Kalter Krieg 2.0?
    Die Aufregung um Chinas angebliche Hyperschallwaffe

    Die Volksrepublik China soll eine Hyperschallwaffe getestet haben. China dementiert die Vorwürfe aber und sagt, es wäre ein Raumschiff gewesen.
    Eine Analyse von Patrick Klapetz

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • Cyber Week: Bis zu 16% auf SSDs & RAM von Adata & bis zu 30% auf Alternate • 3 Spiele für 49€: PC, PS5 uvm. • Switch OLED 369,99€ • 6 Blu-rays für 40€ • MSI 27" Curved WQHD 165Hz HDR 479€ • Chromebooks zu Bestpreisen • Alternate (u. a. Team Group PCIe-4.0-SSD 1TB 152,90€) [Werbung]
    •  /