Abo
  • Services:

Drei Sicherheitslöcher in Mozilla und Firefox

Ein weiteres Sicherheitsloch in Firefox 1.0 und Mozilla 1.7.5 erlaubt mit Hilfe eines installierten Flash-Plug-Ins oder des Opacity-Filters das Verstecken der Browser-Konfiguration (about:config) in einem verborgenen Frame, um darüber gezielt Änderungen an der Browser-Konfiguration vorzunehmen. Dies wäre denkbar, indem ein Angreifer eine präparierte DHTML-Seite bereitstellt, auf der etwa ein Browser-Spiel angeboten wird. Das Opfer muss dann dazu gebracht werden, auf bestimmte Bereiche innerhalb der DHTML-Seite zu klicken, so dass der Angreifer gezielt Änderungen an der Browser-Einstellung in Firefox oder Mozilla vornehmen kann. Auch für dieses Sicherheitsloch hat Michael Krax eine Beispielseite bereitgestellt.

Stellenmarkt
  1. Bosch Gruppe, Stuttgart
  2. ALDI International Services GmbH & Co. oHG, Mülheim an der Ruhr

Auch das dritte von Krax entdeckte Sicherheitsloch in Firefox 1.0 und Mozilla 1.7.5 stellt keine wesentliche Gefahr dar, da sich ein dadurch vorgenommener Angriffsversuch leicht enttarnen lässt. Firefox und Mozilla verhindern, dass ausführbarer Programmcode aus dem Browser auf den lokalen Rechner gezogen wird. Dies gilt aber nicht für Bilddateien, so dass ein Angreifer dem Browser eine manipulierte Bilddatei unterschieben kann, damit das Opfer das Bild respektive die ausführbare Datei auf dem eigenen Rechner lädt. Nachdem die manipulierte Datei auf den Rechner geladen ist, wird die Datei aber mit korrekter Endung angezeigt, so dass leicht erkennbar ist, dass es sich hierbei keineswegs um eine Bilddatei handelt. Auch wenn Dateiendungen vielfach auf Windows-Systemen ausgeblendet werden, gibt auch das entsprechende Icon Aufschluss darüber, dass es sich keineswegs um eine Bilddatei, sondern um eine ausführbare Datei handelt. Auch dieses Sicherheitsloch demonstriert eine passende Beispielseite.

Etwas unklar ist, warum Michael Krax mit der Bekanntgabe der Sicherheitslücken nicht gewartet hat, bis aktualisierte Windows-Versionen von Firefox und Mozilla verfügbar sind, die von Endkunden eingesetzt werden können. Derzeit stehen wohl nur Nightly Builds zur Verfügung, in denen die Sicherheitslöcher geschlossen wurden. Das Mozilla-Team wurde Ende Januar 2005 bzw. Anfang Februar 2005 über die Sicherheitslöcher informiert. Vor einigen Tagen wurden die Sicherheitslöcher geschlossen, aber es stehen noch keine aktualisierten Versionen von Firefox und Mozilla für Endanwender bereit.

 Drei Sicherheitslöcher in Mozilla und Firefox
  1.  
  2. 1
  3. 2


Anzeige
Top-Angebote
  1. (u. a. Metal Gear Solid V 5,75€, For Honor 8,99€, Mad Max 4,25€)
  2. 19,49€
  3. 699€ (PCGH-Preisvergleich ab 755€)

Katsenkalamitaet 08. Feb 2005

Fein. Dann sind ja nur noch 95% betroffen.

Otto d.O. 08. Feb 2005

Wie sieht denn das entsprechende Icon für eine ausführbare Datei aus, damit man sie (bei...

mcfritt 08. Feb 2005

Ach weißt du, die Microsoft-Produkte sind sooo extreeem gut, da mach ich das gerne...

Katsenkalamitaet 08. Feb 2005

Wenn IBM-Viacom-TimeWarner-AOL begreifen, daß die ganze Kohle und der Zeitaufwand in den...

OstGote! 08. Feb 2005

aktuelle Firefox 1.0.1 Builds (nicht Trunk, das wären 1.1 Builds!) http://ftp.mozilla.org...


Folgen Sie uns
       


Red Dead Redemption 2 - Test

Das Spiel des Jahres - in punkto Hype - kommt 2018 von den GTA-Machern Rockstar. Im Test sortieren wir es im Genre ein.

Red Dead Redemption 2 - Test Video aufrufen
Yuneec H520: 3D-Modell aus der Drohne
Yuneec H520
3D-Modell aus der Drohne

Multikopter werden zunehmend auch kommerziell verwendet. Vor allem machen die Drohnen Luftbilder und Inspektionsflüge und vermessen. Wir haben in der Praxis getestet, wie gut das mit dem Yuneec H520 funktioniert.
Von Dirk Koller


    Requiem zur Cebit: Es war einmal die beste Messe
    Requiem zur Cebit
    Es war einmal die beste Messe

    Nach 33 Jahren ist Schluss mit der Cebit und das ist mehr als schade. Wir waren dabei, als sie noch nicht nur die größte, sondern auch die beste Messe der Welt war - und haben dann erlebt, wie Trends verschlafen wurden. Ein Nachruf.
    Von Nico Ernst

    1. IT-Messe Die Cebit wird eingestellt

    Google Nachtsicht im Test: Starke Nachtaufnahmen mit dem Pixel
    Google Nachtsicht im Test
    Starke Nachtaufnahmen mit dem Pixel

    Gut einen Monat nach der Vorstellung der neuen Pixel-Smartphones hat Google die Kamerafunktion Nachtsicht vorgestellt. Mit dieser lassen sich tolle Nachtaufnahmen machen, die mit denen von Huaweis Nachtmodus vergleichbar sind - und dessen Qualität bei Selbstporträts deutlich übersteigt.
    Ein Test von Tobias Költzsch

    1. Pixel 3 Google patcht Probleme mit Speichermanagement
    2. Smartphone Google soll Pixel 3 Lite mit Kopfhörerbuchse planen
    3. Google Dem Pixel 3 XL wächst eine zweite Notch

      •  /