Abo
  • Services:
Anzeige

Drei Sicherheitslöcher in Mozilla und Firefox

Sicherheitslücken bedeuten keine große Gefahr

Der Sicherheitsexperte Michael Krax hat eine Reihe eher ungefährlicher Sicherheitslücken in den Windows-Versionen von Firefox und Mozilla entdeckt, worüber Angreifer Programmcode einschleusen, ausführen oder unbemerkt die Konfiguration des Browsers verändern können. Das Mozilla-Team hat die Sicherheitslecks bereits beseitigt, allerdings bislang noch keine Final-Versionen der Applikationen veröffentlicht, worin die Probleme behoben wurden.

Ein Sicherheitsloch in Firefox 1.0 und Mozilla 1.7.5 betrifft die Tabbed-Browsing-Funktionen, worüber sich der JavaScript-Sicherheitsmanager austricksen lässt, der normalerweise die hier geschilderten Angriffsszenarios verhindern soll. Zur Ausnutzung des Sicherheitslochs muss ein Opfer dazu gebracht werden, einen Link per Drag-and-Drop auf ein bereits geöffnetes Tab-Fenster zu ziehen. Über dieses Sicherheitsloch lassen sich zwar Daten auf ein fremdes System schleusen oder Cookie-Daten ausspähen, allerdings müssen bestimmte Voraussetzungen vorliegen und eher unübliche Aktionen der Nutzer vollzogen werden, so dass die davon ausgehende Gefährdung als gering einzustufen ist.

Anzeige

Cookie-Daten lassen sich ausspähen, indem ein präparierter Link auf ein bereits geöffnetes Tab-Fenster gezogen wird, was dem Angreifer den Zugriff auf die Cookies der betreffenden Seite erlaubt. Zur Installation von Software aus Firefox heraus muss ebenfalls ein Link auf ein Tab-Fenster gezogen werden. In diesem Fall muss der zuvor bereits geladenen Seite die Installation von Software gestattet sein, damit das Sicherheitsloch von einem Angreifer überhaupt ausgenutzt werden kann.

Auch das Ablegen von Dateien auf dem Rechner des Opfers ist per Drag-and-Drop möglich, was aber nur funktioniert, wenn in dem betreffenden Tab-Fenster vorher mit about:config die Konfigurationsseite des Browsers aufgerufen wurde. Schließlich sieht ein weiteres Angriffsszenario vor, Programmcode ohne Berechtigung auszuführen, allerdings müssen dafür für die geöffnete Seite spezielle Konfigurationen in about:config vorgenommen werden, die normalerweise deaktiviert sind. Michael Krax hat eine Beispielseite bereitgestellt, auf der die beschriebenen Angriffsmöglichkeiten ausprobiert werden können.

Drei Sicherheitslöcher in Mozilla und Firefox 

eye home zur Startseite
Katsenkalamitaet 08. Feb 2005

Fein. Dann sind ja nur noch 95% betroffen.

Otto d.O. 08. Feb 2005

Wie sieht denn das entsprechende Icon für eine ausführbare Datei aus, damit man sie (bei...

mcfritt 08. Feb 2005

Ach weißt du, die Microsoft-Produkte sind sooo extreeem gut, da mach ich das gerne...

Katsenkalamitaet 08. Feb 2005

Wenn IBM-Viacom-TimeWarner-AOL begreifen, daß die ganze Kohle und der Zeitaufwand in den...

OstGote! 08. Feb 2005

aktuelle Firefox 1.0.1 Builds (nicht Trunk, das wären 1.1 Builds!) http://ftp.mozilla.org...



Anzeige

Stellenmarkt
  1. ARI Fleet Germany GmbH, Stuttgart
  2. Consors Finanz, München
  3. Alice Salomon Hochschule Berlin, Berlin
  4. Bertrandt Services GmbH, Friedrichshafen


Anzeige
Hardware-Angebote
  1. 229,99€

Folgen Sie uns
       


  1. München

    Tschüss Limux, hallo Chaos!

  2. Verbraucherzentrale

    Regulierungsfreiheit für Glasfaser bringt Preissteigerung

  3. WW2

    Kostenpflichtige Profispieler für Call of Duty verfügbar

  4. Firefox Nightly Build 58

    Firefox warnt künftig vor Webseiten mit Datenlecks

  5. Limux-Ende

    München beschließt 90 Millionen für IT-Umbau

  6. Chiphersteller

    Broadcom erhöht Druck bei feindlicher Übernahme von Qualcomm

  7. Open Access

    Konkurrenten wollen FTTH-Ausbau mit der Telekom

  8. Waipu TV

    Produkte aus Werbeblock direkt bei Amazon bestellen

  9. Darpa

    US-Militär will Pflanzen als Schadstoffsensoren einsetzen

  10. Snpr External Graphics Enclosure

    KFA2s Grafikbox samt Geforce GTX 1060 kostet 500 Euro



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Montagewerk in Tilburg: Wo Tesla seine E-Autos für Europa produziert
Montagewerk in Tilburg
Wo Tesla seine E-Autos für Europa produziert
  1. Elektroauto Walmart will den Tesla-Truck
  2. Elektrosportwagen Tesla Roadster 2 beschleunigt in 2 Sekunden auf Tempo 100
  3. Elektromobilität Tesla Truck soll in 30 Minuten 630 km Reichweite laden

Fitbit Ionic im Test: Die (noch) nicht ganz so smarte Sportuhr
Fitbit Ionic im Test
Die (noch) nicht ganz so smarte Sportuhr
  1. Verbraucherschutz Sportuhr-Hersteller gehen unsportlich mit Daten um
  2. Wii Remote Nintendo muss 10 Millionen US-Dollar in Patentstreit zahlen
  3. Ionic Fitbit stellt Smartwatch mit Vier-Tage-Akku vor

E-Golf im Praxistest: Und lädt und lädt und lädt
E-Golf im Praxistest
Und lädt und lädt und lädt
  1. Garmin Vivoactive 3 im Test Bananaware fürs Handgelenk
  2. Microsoft Sonar überprüft kostenlos Webseiten auf Fehler
  3. Inspiron 5675 im Test Dells Ryzen-Gaming-PC reicht mindestens bis 2020

  1. Re: Seh ich nicht.. bekomme hoffe ich Glasfaser

    serra.avatar | 06:50

  2. Re: 999$ = 1150¤?

    opodeldox | 06:47

  3. Wenn der Gaul tot ist, muss man auch mal...

    ve2000 | 06:44

  4. Re: Kooperation? Wie soll das aussehen?

    serra.avatar | 06:42

  5. Re: Staatsgelder verpulfert

    SJ | 06:40


  1. 07:00

  2. 18:40

  3. 17:44

  4. 17:23

  5. 17:05

  6. 17:04

  7. 14:39

  8. 14:24


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel