• IT-Karriere:
  • Services:

Firefox 1.0.5 schließt zwölf Sicherheitslücken

Sicherheitslücken erlauben Ausführung von fremdem Code

Die Mozilla-Entwickler beheben mit dem Sicherheits-Update auf Firefox 1.0.5 zwölf Sicherheitslücken in ihrem Browser. Darunter sind auch zwei als kritisch eingestufte Probleme, die das Ausführen von fremdem Code erlauben.

Artikel veröffentlicht am ,

Ein Problem ergibt sich im Zusammenspiel mit Media-Playern wie Flash oder QuickTime, die gescriptete Inhalte unterstützen und URLs öffnen können. Bislang ersetzte Firefox beim Öffnen Inhalte im aktuell geöffneten Browser-Fenster mit dem aus einer externen Quelle stammenden Inhalt. Handelte es sich bei der URL um eine JavaScript-URL, wurden diese Inhalte angezeigt, als kämen sie von der vorhergehenden Seite, wodurch es Dritten möglich war, an sensitive Informationen wie Login-Cookies oder Passwörter zu gelangen. Fordert der Media-Player zuvor noch eine privilegierte Chrome-URL an, ist es möglich, fremden Code auszuführen.

Stellenmarkt
  1. Landis+Gyr GmbH, Nürnberg
  2. VerbaVoice GmbH, München

In der neuen Firefox-Version laufen JavaScript-URLs nun immer als "blank", ganz gleich, welche Inhalte sie ersetzen. Externe Applikationen haben damit nicht länger Zugriff auf privilegierte Chrome-URLs. Lediglich über die Kommandozeile wird dies noch unterstützt.

Zudem können Scripte durch unrichtiges Klonen von Basisobjekten unter Umständen an ein privilegiertes Objekt gelangen, über das dann Code ausgeführt werden kann, warnen die Entwickler. Auch dieses Problem ist in Firefox 1.0.5 beseitigt.

Hinzu kommen zehn weitere, weniger kritische Probleme, die mit Firefox 1.0.5 beseitigt werden. Eine Übersicht findet sich unter mozilla.org. Firefox 1.0.5 steht ab sofort für Windows, Linux und MacOS X über die entsprechende Projektseite zum Download bereit.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Anzeige
Top-Angebote
  1. (u. a. Asus Vivobook A705QA (17,3 Zoll) für 449€, Lenovo Chromebook C340 (11,6 Zoll) für 279€)
  2. 239,00€ statt 349,00€ (bei beyerdynamic.de)
  3. (u. a. Samsung GQ55Q90RGTXZG QLED für 1.509€, Samsung UE82RU8009 (82 Zoll, 207 cm) für 1...
  4. (Blu-ray 99,99€, 4K UHD 199,99€)

Stefan Steinecke 16. Jul 2005

http://www.heise.de/newsticker/meldung/61767

Stefan Steinecke 14. Jul 2005

Den Browserkrieg habe nicht ich erfunden, liebe Mis Verständis. Und der "Firefox"-Mob IST...

Missingno. 14. Jul 2005

'meine' Antwort wäre immer noch ein ferngewartetes Festplattenformatierungstool Ist wie...


Folgen Sie uns
       


Eigene Deep Fakes mit DeepFaceLab - Tutorial

Wir zeigen im Video, wie man mit DeepFaceLab arbeitet.

Eigene Deep Fakes mit DeepFaceLab - Tutorial Video aufrufen
Threadripper 3990X im Test: AMDs 64-kerniger Hammer
Threadripper 3990X im Test
AMDs 64-kerniger Hammer

Für 4.000 Euro ist der Ryzen Threadripper 3990X ein Spezialwerkzeug: Die 64-kernige CPU eignet sich exzellent für Rendering oder Video-Encoding, zumindest bei genügend RAM - wir benötigten teils 128 GByte.
Ein Test von Marc Sauter und Sebastian Grüner

  1. Ryzen Mobile 4000 (Renoir) Lasst die Ära der schrottigen AMD-Notebooks enden!
  2. HEDT-Prozessor 64-kerniger Threadripper schlägt 20.000-Dollar-Xeons
  3. Ryzen Mobile 4000 AMDs Renoir hat acht 7-nm-Kerne für Ultrabooks

Nitropad im Test: Ein sicherer Laptop, der im Alltag kaum nervt
Nitropad im Test
Ein sicherer Laptop, der im Alltag kaum nervt

Das Nitropad schützt vor Bios-Rootkits oder Evil-Maid-Angriffen. Dazu setzt es auf die freie Firmware Coreboot, die mit einem Nitrokey überprüft wird. Das ist im Alltag erstaunlich einfach, nur Updates werden etwas aufwendiger.
Ein Praxistest von Moritz Tremmel und Sebastian Grüner

  1. Nitropad X230 Nitrokey veröffentlicht abgesicherten Laptop
  2. LVFS Coreboot-Updates sollen nutzerfreundlich werden
  3. Linux-Laptop System 76 verkauft zwei Laptops mit Coreboot

Nasa: Boeing umging Sicherheitsprozeduren bei Starliner
Nasa
Boeing umging Sicherheitsprozeduren bei Starliner

Vergessene Tabelleneinträge, fehlende Zeitabfragen und störende Mobilfunksignale sollen ursächlich für die Probleme beim Testflug des Starliner-Raumschiffs gewesen sein. Das seien aber nur Symptome des Zusammenbruchs der Sicherheitsprozeduren in der Softwareentwicklung von Boeing. Parallelen zur Boeing 737 MAX werden deutlich.
Von Frank Wunderlich-Pfeiffer

  1. Nasa Boeings Starliner hatte noch einen schweren Softwarefehler
  2. Boeing 777x Jungfernflug für das größte zweistrahlige Verkehrsflugzeug
  3. Boeing 2019 wurden mehr Flugzeuge storniert als bestellt

    •  /