Abo
  • Services:

Drei Sicherheitslöcher in Mozilla und Firefox

Sicherheitslücken bedeuten keine große Gefahr

Der Sicherheitsexperte Michael Krax hat eine Reihe eher ungefährlicher Sicherheitslücken in den Windows-Versionen von Firefox und Mozilla entdeckt, worüber Angreifer Programmcode einschleusen, ausführen oder unbemerkt die Konfiguration des Browsers verändern können. Das Mozilla-Team hat die Sicherheitslecks bereits beseitigt, allerdings bislang noch keine Final-Versionen der Applikationen veröffentlicht, worin die Probleme behoben wurden.

Artikel veröffentlicht am ,

Ein Sicherheitsloch in Firefox 1.0 und Mozilla 1.7.5 betrifft die Tabbed-Browsing-Funktionen, worüber sich der JavaScript-Sicherheitsmanager austricksen lässt, der normalerweise die hier geschilderten Angriffsszenarios verhindern soll. Zur Ausnutzung des Sicherheitslochs muss ein Opfer dazu gebracht werden, einen Link per Drag-and-Drop auf ein bereits geöffnetes Tab-Fenster zu ziehen. Über dieses Sicherheitsloch lassen sich zwar Daten auf ein fremdes System schleusen oder Cookie-Daten ausspähen, allerdings müssen bestimmte Voraussetzungen vorliegen und eher unübliche Aktionen der Nutzer vollzogen werden, so dass die davon ausgehende Gefährdung als gering einzustufen ist.

Inhalt:
  1. Drei Sicherheitslöcher in Mozilla und Firefox
  2. Drei Sicherheitslöcher in Mozilla und Firefox

Cookie-Daten lassen sich ausspähen, indem ein präparierter Link auf ein bereits geöffnetes Tab-Fenster gezogen wird, was dem Angreifer den Zugriff auf die Cookies der betreffenden Seite erlaubt. Zur Installation von Software aus Firefox heraus muss ebenfalls ein Link auf ein Tab-Fenster gezogen werden. In diesem Fall muss der zuvor bereits geladenen Seite die Installation von Software gestattet sein, damit das Sicherheitsloch von einem Angreifer überhaupt ausgenutzt werden kann.

Auch das Ablegen von Dateien auf dem Rechner des Opfers ist per Drag-and-Drop möglich, was aber nur funktioniert, wenn in dem betreffenden Tab-Fenster vorher mit about:config die Konfigurationsseite des Browsers aufgerufen wurde. Schließlich sieht ein weiteres Angriffsszenario vor, Programmcode ohne Berechtigung auszuführen, allerdings müssen dafür für die geöffnete Seite spezielle Konfigurationen in about:config vorgenommen werden, die normalerweise deaktiviert sind. Michael Krax hat eine Beispielseite bereitgestellt, auf der die beschriebenen Angriffsmöglichkeiten ausprobiert werden können.

Drei Sicherheitslöcher in Mozilla und Firefox 
  1. 1
  2. 2
  3.  


Anzeige
Hardware-Angebote
  1. (Neuware für kurze Zeit zum Sonderpreis bei Mindfactory)
  2. täglich neue Deals bei Alternate.de
  3. 119,90€

Katsenkalamitaet 08. Feb 2005

Fein. Dann sind ja nur noch 95% betroffen.

Otto d.O. 08. Feb 2005

Wie sieht denn das entsprechende Icon für eine ausführbare Datei aus, damit man sie (bei...

mcfritt 08. Feb 2005

Ach weißt du, die Microsoft-Produkte sind sooo extreeem gut, da mach ich das gerne...

Katsenkalamitaet 08. Feb 2005

Wenn IBM-Viacom-TimeWarner-AOL begreifen, daß die ganze Kohle und der Zeitaufwand in den...

OstGote! 08. Feb 2005

aktuelle Firefox 1.0.1 Builds (nicht Trunk, das wären 1.1 Builds!) http://ftp.mozilla.org...


Folgen Sie uns
       


Shadow of the Tomb Raider - Golem.de live Teil 2

In Teil 2 des Livestreams zu Shadow of the Tomb Raider finden wir lustige Grafikfehler und der Chat trinkt zu viel Bier, kann Michael aber trotzdem bei einigen Rätseln helfen.

Shadow of the Tomb Raider - Golem.de live Teil 2 Video aufrufen
Retrogaming: Maximal unnötige Minis
Retrogaming
Maximal unnötige Minis

Nanu, die haben wir doch schon mal weggeschmissen - und jetzt sollen wir 100 Euro dafür ausgeben? Mit Minikonsolen fahren Anbieter wie Sony und Nintendo vermutlich hohe Gewinne ein, dabei gäbe es eine für alle bessere Alternative: Software statt Hardware.
Ein IMHO von Peter Steinlechner

  1. Streaming Heilloses Durcheinander bei Netflix und Amazon Prime
  2. Sicherheit Ein Lob für Twitter und Github
  3. Linux Mit Ignoranz gegen die GPL

Fifa 19 und PES 2019 im Test: Knapper Punktsieg für EA Sports
Fifa 19 und PES 2019 im Test
Knapper Punktsieg für EA Sports

Es ist eher eine Glaubens- als eine echte Qualitätsfrage: Fifa 19 oder PES 2019? Golem.de zieht anhand der Versionen für Playstation 4 den Vergleich - und kommt zu einem schwierigen, aber eindeutigen Urteil.
Ein Test von Olaf Bleich und Benedikt Plass-Fleßenkämper

  1. Fifa 19 angespielt Präzisionsschüsse, Zweikämpfe und mehr Taktik
  2. EA Sports Fifa 18 bekommt kostenloses WM-Update
  3. Bestseller Fifa 18 schlägt Call of Duty in Europa

iOS 12 im Test: Auch Apple will es Nutzern leichter machen
iOS 12 im Test
Auch Apple will es Nutzern leichter machen

Apple setzt mit iOS 12 weniger auf aufsehenerregende Funktionen als auf viele kleine Verbesserungen für den Alltag. Das erinnert an Google und Android 9, was nicht zwingend schlecht ist.
Ein Test von Tobias Költzsch

  1. Apple iOS 12.1 verrät neues iPad Pro
  2. Apple Siri-Kurzbefehle-App für iOS 12 verfügbar

    •  /