• IT-Karriere:
  • Services:

Firefox 2.0.0.6 grenzt URI-Lücke ein

Windows XP mit Internet Explorer 7 gefährdet

Eine Sicherheitslücke die bei Firefox unter Window XP im Zusammenspiel mit dem Internet Explorer 7 auftritt, erlaubt es, fremden Code auf Windows-Rechnern auszuführen. Firefox 2.0.0.6 schränkt die mit dieser Sicherheitslücke zusammenhängende Gefahr ein, schließt aber die Lücke nicht ganz. Auch andere Applikationen als Firefox sind von dem Problem betroffen, denn der Fehler steckt wohl im Verhalten des Windows-Shell-API.

Artikel veröffentlicht am ,

Laut Mozilla tritt der Fehler bei Firefox nur auf, wenn der Browser unter Windows XP läuft und zudem Microsofts Internet Explorer 7 installiert ist. Dabei kommen zwei Sicherheitslücken zusammen. Das eine von Billy Rios und Nate McFeters entdeckte Problem: URIs für bestimmte Protokolle wie "mailto:" lassen sich nutzen um eine Applikation auf dem System des Nutzers zu öffnen, je nach angegebener Datei-Endung. Dazu müssen die URIs mit "%00" bzw. "%" versehen werden, dann werden sie an einen Datei-Handler übergeben. So lassen sich Programme, deren Pfad bekannt ist, starten.

Stellenmarkt
  1. Investitionsbank Schleswig-Holstein, Kiel
  2. IT-Servicezentrum der bayerischen Justiz, Amberg/Oberpfalz, München, Nürnberg, Augsburg, Schwabmünchen

Zusätzlich gefährlich wird dies durch eine zweite von Jesper Johansson entdeckte Lücke, durch die sich der aufgerufenen Applikation in begrenztem Rahmen Parameter übergeben lassen.

Firefox 2.0.0.6 soll nun die bisher bekannten Möglichkeiten, eine dieser Sicherheitslücke zu nutzen, beseitigen - das eigentliche Problem bleibt aber bestehen, so die Mozilla-Entwickler. Das problematische Verhalten sei Teil des Windows-Shell-API und daher auch andere Internet-Applikationen neben Firefox betroffen. Heise Security dokumentiert die Probleme bei der URI-Übergabe auch bei Skype und Miranda.

Ein Umweg um die Fehler einzudämmen ist, Firefox beim Aufruf von mailto:-URIs fragen zu lassen. Dies lässt sich über "about:config" einstellen. Dazu werden die Einträge "network.protocol-handler.warn-externa" für die Protokolle mailto, news, nntp, und snews auf "true" gesetzt.

Firefox 2.0.0.6 steht ab sofort unter mozilla.com zum Download bereit. Details zu den Änderungen finden sich in den Release Notes. Eine neue Version von Thunderbird soll folgen, da hier das Problem ebenfalls auftritt, nur eben im Zusammenspiel mit anderen Protokollen.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Anzeige
Spiele-Angebote
  1. 5,49€
  2. 19,99€
  3. 27,99€
  4. 38,99€

noch treuer FF... 02. Aug 2007

...bin ich der einzige, der seit diese update ein problem mit skripts hat???

urk di burk urk 01. Aug 2007

"wenn der Browser unter Windows XP läuft und zudem Microsofts Internet Explorer 7...


Folgen Sie uns
       


Drive Pilot der S-Klasse ausprobiert

Die neue S-Klasse von Mercedes-Benz soll erstmals dem Fahrer die Verantwortung im Stau abnehmen.

Drive Pilot der S-Klasse ausprobiert Video aufrufen
Google vs. Oracle: Das wichtigste Urteil der IT seit Jahrzehnten
Google vs. Oracle
Das wichtigste Urteil der IT seit Jahrzehnten

Der Prozess Google gegen Oracle wird in diesem Jahr enden. Egal welche Seite gewinnt, die Entscheidung wird die IT-Landschaft langfristig prägen.
Eine Analyse von Sebastian Grüner


    Antivirus: Das Jahr der unsicheren Sicherheitssoftware
    Antivirus
    Das Jahr der unsicheren Sicherheitssoftware

    Antivirus-Software soll uns eigentlich schützen, doch das vergangene Jahr hat erneut gezeigt: Statt Schutz gibt es Sicherheitsprobleme frei Haus.
    Von Moritz Tremmel

    1. NortonLifeLock Norton kauft deutschen Antivirenhersteller Avira

    IT-Security outsourcen: Besser als gar keine Sicherheit
    IT-Security outsourcen
    Besser als gar keine Sicherheit

    Security as a Service (SECaaS) verspricht ein Höchstmaß an Sicherheit. Das Auslagern eines so heiklen Bereichs birgt jedoch auch Risiken.
    Von Boris Mayer

    1. Joe Biden Stellenanzeige im Quellcode von Whitehouse.gov versteckt
    2. Sturm auf Kapitol Pelosis Laptop sollte Russland angeboten werden
    3. Malware Offenbar Ermittlungen gegen Jetbrains nach Solarwinds-Hack

      •  /