Drei Sicherheitslöcher in Mozilla und Firefox

Sicherheitslücken bedeuten keine große Gefahr

Der Sicherheitsexperte Michael Krax hat eine Reihe eher ungefährlicher Sicherheitslücken in den Windows-Versionen von Firefox und Mozilla entdeckt, worüber Angreifer Programmcode einschleusen, ausführen oder unbemerkt die Konfiguration des Browsers verändern können. Das Mozilla-Team hat die Sicherheitslecks bereits beseitigt, allerdings bislang noch keine Final-Versionen der Applikationen veröffentlicht, worin die Probleme behoben wurden.

Artikel veröffentlicht am ,

Ein Sicherheitsloch in Firefox 1.0 und Mozilla 1.7.5 betrifft die Tabbed-Browsing-Funktionen, worüber sich der JavaScript-Sicherheitsmanager austricksen lässt, der normalerweise die hier geschilderten Angriffsszenarios verhindern soll. Zur Ausnutzung des Sicherheitslochs muss ein Opfer dazu gebracht werden, einen Link per Drag-and-Drop auf ein bereits geöffnetes Tab-Fenster zu ziehen. Über dieses Sicherheitsloch lassen sich zwar Daten auf ein fremdes System schleusen oder Cookie-Daten ausspähen, allerdings müssen bestimmte Voraussetzungen vorliegen und eher unübliche Aktionen der Nutzer vollzogen werden, so dass die davon ausgehende Gefährdung als gering einzustufen ist.

Inhalt:
  1. Drei Sicherheitslöcher in Mozilla und Firefox
  2. Drei Sicherheitslöcher in Mozilla und Firefox

Cookie-Daten lassen sich ausspähen, indem ein präparierter Link auf ein bereits geöffnetes Tab-Fenster gezogen wird, was dem Angreifer den Zugriff auf die Cookies der betreffenden Seite erlaubt. Zur Installation von Software aus Firefox heraus muss ebenfalls ein Link auf ein Tab-Fenster gezogen werden. In diesem Fall muss der zuvor bereits geladenen Seite die Installation von Software gestattet sein, damit das Sicherheitsloch von einem Angreifer überhaupt ausgenutzt werden kann.

Auch das Ablegen von Dateien auf dem Rechner des Opfers ist per Drag-and-Drop möglich, was aber nur funktioniert, wenn in dem betreffenden Tab-Fenster vorher mit about:config die Konfigurationsseite des Browsers aufgerufen wurde. Schließlich sieht ein weiteres Angriffsszenario vor, Programmcode ohne Berechtigung auszuführen, allerdings müssen dafür für die geöffnete Seite spezielle Konfigurationen in about:config vorgenommen werden, die normalerweise deaktiviert sind. Michael Krax hat eine Beispielseite bereitgestellt, auf der die beschriebenen Angriffsmöglichkeiten ausprobiert werden können.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
Drei Sicherheitslöcher in Mozilla und Firefox 
  1. 1
  2. 2
  3.  


Katsenkalamitaet 08. Feb 2005

Fein. Dann sind ja nur noch 95% betroffen.

Otto d.O. 08. Feb 2005

Wie sieht denn das entsprechende Icon für eine ausführbare Datei aus, damit man sie (bei...

mcfritt 08. Feb 2005

Ach weißt du, die Microsoft-Produkte sind sooo extreeem gut, da mach ich das gerne...

Katsenkalamitaet 08. Feb 2005

Wenn IBM-Viacom-TimeWarner-AOL begreifen, daß die ganze Kohle und der Zeitaufwand in den...



Aktuell auf der Startseite von Golem.de
Jahressteuergesetz
Homeoffice-Pauschale wird noch einmal erhöht

Wer im Homeoffice arbeitet, kann mehr von der Steuer absetzen als bislang geplant. Der Maximalbetrag steigt an.

Jahressteuergesetz: Homeoffice-Pauschale wird noch einmal erhöht
Artikel
  1. AVM Fritzbox: FritzOS 7.50 ist da
    AVM Fritzbox
    FritzOS 7.50 ist da

    Das neue Betriebssystem für Fritzboxen bringt viele Neuerungen beim Smart Home, führt Wireguard per QR-Code ein und verbessert IP-Sperren.

  2. Loupedeck Live S ausprobiert: Alle Streams an Deck
    Loupedeck Live S ausprobiert
    Alle Streams an Deck

    Das Loupedeck Live S ist eine kleine Hardwaresteuerung für Streaming und Medien. Wir fänden mehr Cloud und weniger Kosten wünschenswert.
    Ein Praxistest von Martin Wolf

  3. IT-Projektmanager: Mehr als Excel-Schubser und Flaschenhälse
    IT-Projektmanager
    Mehr als Excel-Schubser und Flaschenhälse

    Viele IT-Teams halten ihr Projektmanagement für überflüssig. Wir zeigen drei kreative Methoden, mit denen Projektmanager wirklich relevant werden.
    Ein Ratgebertext von Jakob Rufus Klimkait und Kristin Ottlinger

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • PS5-Bundle vorbestellbar • Amazon-Geräte bis 53% günstiger, u. a. Echo Dot 5. Gen. 29,99€ • Mindstar: AMD Ryzen 7 7700X Tray 369€ • Crucial-SSDs günstiger • Advent-Tagesdeals bei MediaMarkt/Saturn: u. a. E-Auto-Wallbox 399€ • LG OLED TV (2022) 55" 120Hz 949€ [Werbung]
    •  /