Abo
  • IT-Karriere:

Drei Sicherheitslöcher in Mozilla und Firefox

Sicherheitslücken bedeuten keine große Gefahr

Der Sicherheitsexperte Michael Krax hat eine Reihe eher ungefährlicher Sicherheitslücken in den Windows-Versionen von Firefox und Mozilla entdeckt, worüber Angreifer Programmcode einschleusen, ausführen oder unbemerkt die Konfiguration des Browsers verändern können. Das Mozilla-Team hat die Sicherheitslecks bereits beseitigt, allerdings bislang noch keine Final-Versionen der Applikationen veröffentlicht, worin die Probleme behoben wurden.

Artikel veröffentlicht am ,

Ein Sicherheitsloch in Firefox 1.0 und Mozilla 1.7.5 betrifft die Tabbed-Browsing-Funktionen, worüber sich der JavaScript-Sicherheitsmanager austricksen lässt, der normalerweise die hier geschilderten Angriffsszenarios verhindern soll. Zur Ausnutzung des Sicherheitslochs muss ein Opfer dazu gebracht werden, einen Link per Drag-and-Drop auf ein bereits geöffnetes Tab-Fenster zu ziehen. Über dieses Sicherheitsloch lassen sich zwar Daten auf ein fremdes System schleusen oder Cookie-Daten ausspähen, allerdings müssen bestimmte Voraussetzungen vorliegen und eher unübliche Aktionen der Nutzer vollzogen werden, so dass die davon ausgehende Gefährdung als gering einzustufen ist.

Inhalt:
  1. Drei Sicherheitslöcher in Mozilla und Firefox
  2. Drei Sicherheitslöcher in Mozilla und Firefox

Cookie-Daten lassen sich ausspähen, indem ein präparierter Link auf ein bereits geöffnetes Tab-Fenster gezogen wird, was dem Angreifer den Zugriff auf die Cookies der betreffenden Seite erlaubt. Zur Installation von Software aus Firefox heraus muss ebenfalls ein Link auf ein Tab-Fenster gezogen werden. In diesem Fall muss der zuvor bereits geladenen Seite die Installation von Software gestattet sein, damit das Sicherheitsloch von einem Angreifer überhaupt ausgenutzt werden kann.

Auch das Ablegen von Dateien auf dem Rechner des Opfers ist per Drag-and-Drop möglich, was aber nur funktioniert, wenn in dem betreffenden Tab-Fenster vorher mit about:config die Konfigurationsseite des Browsers aufgerufen wurde. Schließlich sieht ein weiteres Angriffsszenario vor, Programmcode ohne Berechtigung auszuführen, allerdings müssen dafür für die geöffnete Seite spezielle Konfigurationen in about:config vorgenommen werden, die normalerweise deaktiviert sind. Michael Krax hat eine Beispielseite bereitgestellt, auf der die beschriebenen Angriffsmöglichkeiten ausprobiert werden können.

Drei Sicherheitslöcher in Mozilla und Firefox 
  1. 1
  2. 2
  3.  


Anzeige
Spiele-Angebote
  1. 4,99€
  2. (-71%) 19,99€
  3. (-75%) 9,99€
  4. (-55%) 44,99€

Katsenkalamitaet 08. Feb 2005

Fein. Dann sind ja nur noch 95% betroffen.

Otto d.O. 08. Feb 2005

Wie sieht denn das entsprechende Icon für eine ausführbare Datei aus, damit man sie (bei...

mcfritt 08. Feb 2005

Ach weißt du, die Microsoft-Produkte sind sooo extreeem gut, da mach ich das gerne...

Katsenkalamitaet 08. Feb 2005

Wenn IBM-Viacom-TimeWarner-AOL begreifen, daß die ganze Kohle und der Zeitaufwand in den...

OstGote! 08. Feb 2005

aktuelle Firefox 1.0.1 Builds (nicht Trunk, das wären 1.1 Builds!) http://ftp.mozilla.org...


Folgen Sie uns
       


Sonos Move ausprobiert (Ifa 2019)

Wir haben den Move ausprobiert, Sonos' ersten Lautsprecher mit Akku, Bluetooth-Zuspielung und Auto-Trueplay.

Sonos Move ausprobiert (Ifa 2019) Video aufrufen
SSD-Kompendium: AHCI, M.2, NVMe, PCIe, Sata, U.2 - ein Überblick
SSD-Kompendium
AHCI, M.2, NVMe, PCIe, Sata, U.2 - ein Überblick

Heutige SSDs gibt es in allerhand Formfaktoren mit diversen Anbindungen und Protokollen, selbst der verwendete Speicher ist längst nicht mehr zwingend NAND-Flash. Wir erläutern die Unterschiede und Gemeinsamkeiten der Solid State Drives.
Von Marc Sauter

  1. PM1733 Samsungs PCIe-Gen4-SSD macht die 8 GByte/s voll
  2. PS5018-E18 Phisons PCIe-Gen4-SSD-Controller liefert 7 GByte/s
  3. Ultrastar SN640 Western Digital bringt SSD mit 31 TByte im E1.L-Ruler-Format

Akku-FAQ: Vergesst den Memory-Effekt - vorerst!
Akku-FAQ
Vergesst den Memory-Effekt - vorerst!

Soll man Akkus ganz entladen oder nie unter 20 Prozent fallen lassen - oder garantiert ein ganz anderes Verhalten eine möglichst lange Lebensdauer? Und was ist mit dem Memory-Effekt? Wir geben Antworten.
Von Frank Wunderlich-Pfeiffer

  1. Müll Pfand auf Fahrrad-Akkus gefordert
  2. Akku-FAQ Wo bleiben billige E-Autos?
  3. Echion Technologies Neuer Akku soll sich in sechs Minuten laden lassen

Rohstoffe: Lithium aus dem heißen Untergrund
Rohstoffe
Lithium aus dem heißen Untergrund

Liefern Geothermiekraftwerke in Südwestdeutschland bald nicht nur Strom und Wärme, sondern auch einen wichtigen Rohstoff für die Akkus von Smartphones, Tablets und Elektroautos? Das Thermalwasser hat einen so hohen Gehalt an Lithium, dass sich ein Abbau lohnen könnte. Doch es gibt auch Gegner.
Ein Bericht von Werner Pluta

  1. Wasserkraft Strom aus dem Strom
  2. Energie Wie Mikroben Methan mit Windstrom produzieren
  3. Erneuerbare Energien Die Energiewende braucht Wasserstoff

    •  /