Abo
  • Services:

Drei Sicherheitslöcher in Mozilla und Firefox

Ein weiteres Sicherheitsloch in Firefox 1.0 und Mozilla 1.7.5 erlaubt mit Hilfe eines installierten Flash-Plug-Ins oder des Opacity-Filters das Verstecken der Browser-Konfiguration (about:config) in einem verborgenen Frame, um darüber gezielt Änderungen an der Browser-Konfiguration vorzunehmen. Dies wäre denkbar, indem ein Angreifer eine präparierte DHTML-Seite bereitstellt, auf der etwa ein Browser-Spiel angeboten wird. Das Opfer muss dann dazu gebracht werden, auf bestimmte Bereiche innerhalb der DHTML-Seite zu klicken, so dass der Angreifer gezielt Änderungen an der Browser-Einstellung in Firefox oder Mozilla vornehmen kann. Auch für dieses Sicherheitsloch hat Michael Krax eine Beispielseite bereitgestellt.

Stellenmarkt
  1. Funkinform Informations- und Datentechnik GmbH, Ettlingen
  2. Deutsche Bundesbank, Frankfurt am Main

Auch das dritte von Krax entdeckte Sicherheitsloch in Firefox 1.0 und Mozilla 1.7.5 stellt keine wesentliche Gefahr dar, da sich ein dadurch vorgenommener Angriffsversuch leicht enttarnen lässt. Firefox und Mozilla verhindern, dass ausführbarer Programmcode aus dem Browser auf den lokalen Rechner gezogen wird. Dies gilt aber nicht für Bilddateien, so dass ein Angreifer dem Browser eine manipulierte Bilddatei unterschieben kann, damit das Opfer das Bild respektive die ausführbare Datei auf dem eigenen Rechner lädt. Nachdem die manipulierte Datei auf den Rechner geladen ist, wird die Datei aber mit korrekter Endung angezeigt, so dass leicht erkennbar ist, dass es sich hierbei keineswegs um eine Bilddatei handelt. Auch wenn Dateiendungen vielfach auf Windows-Systemen ausgeblendet werden, gibt auch das entsprechende Icon Aufschluss darüber, dass es sich keineswegs um eine Bilddatei, sondern um eine ausführbare Datei handelt. Auch dieses Sicherheitsloch demonstriert eine passende Beispielseite.

Etwas unklar ist, warum Michael Krax mit der Bekanntgabe der Sicherheitslücken nicht gewartet hat, bis aktualisierte Windows-Versionen von Firefox und Mozilla verfügbar sind, die von Endkunden eingesetzt werden können. Derzeit stehen wohl nur Nightly Builds zur Verfügung, in denen die Sicherheitslöcher geschlossen wurden. Das Mozilla-Team wurde Ende Januar 2005 bzw. Anfang Februar 2005 über die Sicherheitslöcher informiert. Vor einigen Tagen wurden die Sicherheitslöcher geschlossen, aber es stehen noch keine aktualisierten Versionen von Firefox und Mozilla für Endanwender bereit.

 Drei Sicherheitslöcher in Mozilla und Firefox
  1.  
  2. 1
  3. 2


Anzeige
Spiele-Angebote
  1. 12,99€
  2. 47,99€
  3. 33,99€
  4. 59,99€/69,99€ mit Vorbesteller-Preisgarantie (Release 28.09.)

Katsenkalamitaet 08. Feb 2005

Fein. Dann sind ja nur noch 95% betroffen.

Otto d.O. 08. Feb 2005

Wie sieht denn das entsprechende Icon für eine ausführbare Datei aus, damit man sie (bei...

mcfritt 08. Feb 2005

Ach weißt du, die Microsoft-Produkte sind sooo extreeem gut, da mach ich das gerne...

Katsenkalamitaet 08. Feb 2005

Wenn IBM-Viacom-TimeWarner-AOL begreifen, daß die ganze Kohle und der Zeitaufwand in den...

OstGote! 08. Feb 2005

aktuelle Firefox 1.0.1 Builds (nicht Trunk, das wären 1.1 Builds!) http://ftp.mozilla.org...


Folgen Sie uns
       


Lenovo Thinkpad X1 Extreme - Hands on (Ifa 2018)

Das Lenovo Thinkpad X1 Extreme wird das neue Top-Notebook des Unternehmens. Wir haben es samt Docking-Station auf der Ifa 2018 ausprobiert.

Lenovo Thinkpad X1 Extreme - Hands on (Ifa 2018) Video aufrufen
Leistungsschutzrecht: So viel Geld würden die Verlage von Google bekommen
Leistungsschutzrecht
So viel Geld würden die Verlage von Google bekommen

Das europäische Leistungsschutzrecht soll die Zukunft der Presse sichern. Doch in Deutschland würde derzeit ein einziger Verlag fast zwei Drittel der Einnahmen erhalten.
Eine Analyse von Friedhelm Greis

  1. Netzpolitik Willkommen im europäischen Filternet
  2. Urheberrecht Europaparlament für Leistungsschutzrecht und Uploadfilter
  3. Leistungsschutzrecht/Uploadfilter Wikipedia protestiert gegen Urheberrechtsreform

Lenovo Thinkpad T480s im Test: Das trotzdem beste Business-Notebook
Lenovo Thinkpad T480s im Test
Das trotzdem beste Business-Notebook

Mit dem Thinkpad T480s verkauft Lenovo ein exzellentes 14-Zoll-Business-Notebook. Anschlüsse und Eingabegeräte überzeugen uns - leider ist aber die CPU konservativ eingestellt und ein gutes Display kostet extra.
Ein Test von Marc Sauter und Sebastian Grüner

  1. Thinkpad E480/E485 im Test AMD gegen Intel in Lenovos 14-Zoll-Notebook
  2. Lenovo Das Thinkpad P1 ist das X1 Carbon als Workstation
  3. Thinkpad Ultra Docking Station im Test Das USB-Typ-C-Dock mit robuster Mechanik

Single Sign-on Made in Germany: Verimi, NetID oder ID4me?
Single Sign-on Made in Germany
Verimi, NetID oder ID4me?

Welche der deutschen Single-Sign-on-Lösungen ist am vielversprechendsten? Golem.de erläutert die Unterschiede zwischen Verimi, NetID und ID4me.
Eine Analyse von Monika Ermert

  1. Verimi Deutsche Konzerne starten Single Sign-on

    •  /