Firefox 1.0.5 schließt zwölf Sicherheitslücken

Sicherheitslücken erlauben Ausführung von fremdem Code. Die Mozilla-Entwickler beheben mit dem Sicherheits-Update auf Firefox 1.0.5 zwölf Sicherheitslücken in ihrem Browser. Darunter sind auch zwei als kritisch eingestufte Probleme, die das Ausführen von fremdem Code erlauben.

13. Juli 2005 um 09:42 Uhr / Jens Ihlenfeld

26 Kommentare News folgen (öffnet im neuen Fenster)

Ein Problem ergibt sich im Zusammenspiel mit Media-Playern wie Flash oder QuickTime, die gescriptete Inhalte unterstützen und URLs öffnen können. Bislang ersetzte Firefox beim Öffnen Inhalte im aktuell geöffneten Browser-Fenster mit dem aus einer externen Quelle stammenden Inhalt. Handelte es sich bei der URL um eine JavaScript-URL, wurden diese Inhalte angezeigt, als kämen sie von der vorhergehenden Seite, wodurch es Dritten möglich war, an sensitive Informationen wie Login-Cookies oder Passwörter zu gelangen. Fordert der Media-Player zuvor noch eine privilegierte Chrome-URL an, ist es möglich, fremden Code auszuführen.

In der neuen Firefox-Version laufen JavaScript-URLs nun immer als "blank", ganz gleich, welche Inhalte sie ersetzen. Externe Applikationen haben damit nicht länger Zugriff auf privilegierte Chrome-URLs. Lediglich über die Kommandozeile wird dies noch unterstützt.

Neues aus der Golem Karrierewelt(öffnet im neuen Fenster)

Fortgeschrittene Python-Techniken in der Anwendung

Zudem können Scripte durch unrichtiges Klonen von Basisobjekten(öffnet im neuen Fenster) unter Umständen an ein privilegiertes Objekt gelangen, über das dann Code ausgeführt werden kann, warnen die Entwickler. Auch dieses Problem ist in Firefox 1.0.5 beseitigt.

Hinzu kommen zehn weitere, weniger kritische Probleme, die mit Firefox 1.0.5 beseitigt werden. Eine Übersicht findet sich unter mozilla.org(öffnet im neuen Fenster) . Firefox 1.0.5 steht ab sofort für Windows, Linux und MacOS X über die entsprechende Projektseite zum Download(öffnet im neuen Fenster) bereit.