Drei Sicherheitslöcher in Mozilla und Firefox

Sicherheitslücken bedeuten keine große Gefahr

Der Sicherheitsexperte Michael Krax hat eine Reihe eher ungefährlicher Sicherheitslücken in den Windows-Versionen von Firefox und Mozilla entdeckt, worüber Angreifer Programmcode einschleusen, ausführen oder unbemerkt die Konfiguration des Browsers verändern können. Das Mozilla-Team hat die Sicherheitslecks bereits beseitigt, allerdings bislang noch keine Final-Versionen der Applikationen veröffentlicht, worin die Probleme behoben wurden.

Artikel veröffentlicht am ,

Ein Sicherheitsloch in Firefox 1.0 und Mozilla 1.7.5 betrifft die Tabbed-Browsing-Funktionen, worüber sich der JavaScript-Sicherheitsmanager austricksen lässt, der normalerweise die hier geschilderten Angriffsszenarios verhindern soll. Zur Ausnutzung des Sicherheitslochs muss ein Opfer dazu gebracht werden, einen Link per Drag-and-Drop auf ein bereits geöffnetes Tab-Fenster zu ziehen. Über dieses Sicherheitsloch lassen sich zwar Daten auf ein fremdes System schleusen oder Cookie-Daten ausspähen, allerdings müssen bestimmte Voraussetzungen vorliegen und eher unübliche Aktionen der Nutzer vollzogen werden, so dass die davon ausgehende Gefährdung als gering einzustufen ist.

Inhalt:
  1. Drei Sicherheitslöcher in Mozilla und Firefox
  2. Drei Sicherheitslöcher in Mozilla und Firefox

Cookie-Daten lassen sich ausspähen, indem ein präparierter Link auf ein bereits geöffnetes Tab-Fenster gezogen wird, was dem Angreifer den Zugriff auf die Cookies der betreffenden Seite erlaubt. Zur Installation von Software aus Firefox heraus muss ebenfalls ein Link auf ein Tab-Fenster gezogen werden. In diesem Fall muss der zuvor bereits geladenen Seite die Installation von Software gestattet sein, damit das Sicherheitsloch von einem Angreifer überhaupt ausgenutzt werden kann.

Auch das Ablegen von Dateien auf dem Rechner des Opfers ist per Drag-and-Drop möglich, was aber nur funktioniert, wenn in dem betreffenden Tab-Fenster vorher mit about:config die Konfigurationsseite des Browsers aufgerufen wurde. Schließlich sieht ein weiteres Angriffsszenario vor, Programmcode ohne Berechtigung auszuführen, allerdings müssen dafür für die geöffnete Seite spezielle Konfigurationen in about:config vorgenommen werden, die normalerweise deaktiviert sind. Michael Krax hat eine Beispielseite bereitgestellt, auf der die beschriebenen Angriffsmöglichkeiten ausprobiert werden können.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
Drei Sicherheitslöcher in Mozilla und Firefox 
  1. 1
  2. 2
  3.  


Katsenkalamitaet 08. Feb 2005

Fein. Dann sind ja nur noch 95% betroffen.

Otto d.O. 08. Feb 2005

Wie sieht denn das entsprechende Icon für eine ausführbare Datei aus, damit man sie (bei...

mcfritt 08. Feb 2005

Ach weißt du, die Microsoft-Produkte sind sooo extreeem gut, da mach ich das gerne...

Katsenkalamitaet 08. Feb 2005

Wenn IBM-Viacom-TimeWarner-AOL begreifen, daß die ganze Kohle und der Zeitaufwand in den...

OstGote! 08. Feb 2005

aktuelle Firefox 1.0.1 Builds (nicht Trunk, das wären 1.1 Builds!) http://ftp.mozilla.org...



Aktuell auf der Startseite von Golem.de
Apple
Macbook Pro bekommt Notch und Magsafe

Apple hat das Macbook Pro in neuem Gehäuse, mit neuem SoC, einem eigenen Magsafe-Ladeport und Mini-LED-Display mit Kerbe vorgestellt.

Apple: Macbook Pro bekommt Notch und Magsafe
Artikel
  1. Displayreinigung: Apple bringt 25-Euro-Poliertuch mit Kompatibilitätsliste
    Displayreinigung
    Apple bringt 25-Euro-Poliertuch mit Kompatibilitätsliste

    Fast unbemerkt hat Apple den eigentlichen Star des Events von Mitte Oktober 2021 in seinen Onlineshop aufgenommen: ein Poliertuch.

  2. In-Ears: Apple stellt Airpods 3 vor
    In-Ears
    Apple stellt Airpods 3 vor

    Apple hat auf seinem Event die Airpods 3 vorgestellt, die den Airpods 3 Pro sehr ähnlich sehen - allerdings ohne Geräuschunterdrückung.

  3. 5 US-Dollar: Apple bietet günstigeres Music-Abo an
    5 US-Dollar
    Apple bietet günstigeres Music-Abo an

    Apple hat ein preiswerteres Apple-Music-Abo angekündigt, das aber nur mit dem Sprachassistenten Siri gesteuert werden kann.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • Cyber Week: Bis zu 360€ auf Gaming-Monitore & bis zu 22% auf Be Quiet • LG-TVs & Monitore zu Bestpreisen (u. a. Ultragear 34" Curved FHD 144Hz 359€) • Bosch-Werkzeug günstiger • Dell-Monitore günstiger • Horror-Filme reduziert • MwSt-Aktion bei MM: Rabatte auf viele Produkte [Werbung]
    •  /