Firefox 2.0.0.6 grenzt URI-Lücke ein

Windows XP mit Internet Explorer 7 gefährdet

Eine Sicherheitslücke die bei Firefox unter Window XP im Zusammenspiel mit dem Internet Explorer 7 auftritt, erlaubt es, fremden Code auf Windows-Rechnern auszuführen. Firefox 2.0.0.6 schränkt die mit dieser Sicherheitslücke zusammenhängende Gefahr ein, schließt aber die Lücke nicht ganz. Auch andere Applikationen als Firefox sind von dem Problem betroffen, denn der Fehler steckt wohl im Verhalten des Windows-Shell-API.

Artikel veröffentlicht am ,

Laut Mozilla tritt der Fehler bei Firefox nur auf, wenn der Browser unter Windows XP läuft und zudem Microsofts Internet Explorer 7 installiert ist. Dabei kommen zwei Sicherheitslücken zusammen. Das eine von Billy Rios und Nate McFeters entdeckte Problem: URIs für bestimmte Protokolle wie "mailto:" lassen sich nutzen um eine Applikation auf dem System des Nutzers zu öffnen, je nach angegebener Datei-Endung. Dazu müssen die URIs mit "%00" bzw. "%" versehen werden, dann werden sie an einen Datei-Handler übergeben. So lassen sich Programme, deren Pfad bekannt ist, starten.

Stellenmarkt
  1. SAP-Berater (m/w/d) Schwerpunkt SCM
    Vitakraft pet care GmbH & Co. KG, Bremen
  2. IT-Berater (w/m/d) Anwendungen
    Heraeus Infosystems GmbH, Hanau
Detailsuche

Zusätzlich gefährlich wird dies durch eine zweite von Jesper Johansson entdeckte Lücke, durch die sich der aufgerufenen Applikation in begrenztem Rahmen Parameter übergeben lassen.

Firefox 2.0.0.6 soll nun die bisher bekannten Möglichkeiten, eine dieser Sicherheitslücke zu nutzen, beseitigen - das eigentliche Problem bleibt aber bestehen, so die Mozilla-Entwickler. Das problematische Verhalten sei Teil des Windows-Shell-API und daher auch andere Internet-Applikationen neben Firefox betroffen. Heise Security dokumentiert die Probleme bei der URI-Übergabe auch bei Skype und Miranda.

Ein Umweg um die Fehler einzudämmen ist, Firefox beim Aufruf von mailto:-URIs fragen zu lassen. Dies lässt sich über "about:config" einstellen. Dazu werden die Einträge "network.protocol-handler.warn-externa" für die Protokolle mailto, news, nntp, und snews auf "true" gesetzt.

Firefox 2.0.0.6 steht ab sofort unter mozilla.com zum Download bereit. Details zu den Änderungen finden sich in den Release Notes. Eine neue Version von Thunderbird soll folgen, da hier das Problem ebenfalls auftritt, nur eben im Zusammenspiel mit anderen Protokollen.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Aktuell auf der Startseite von Golem.de
Infiltration bei Apple TV+
Die Außerirdischen sind da!

Nach Foundation wartet Apple innerhalb kürzester Zeit gleich mit der nächsten Science-Fiction-Großproduktion auf. Diesmal landen die Aliens auf der Erde.
Eine Rezension von Peter Osteried

Infiltration bei Apple TV+: Die Außerirdischen sind da!
Artikel
  1. Truth Social: Trumps soziales Netz bekommt Probleme mit Hackern und Lizenz
    Truth Social
    Trumps soziales Netz bekommt Probleme mit Hackern und Lizenz

    Hacker starten in Trumps-Netzwerk einen "Online-Krieg gegen Hass" mit Memes. Der Code scheint illegal von Mastodon übernommen worden zu sein.

  2. Krypto: NRW versteigert beschlagnahmte Bitcoin
    Krypto
    NRW versteigert beschlagnahmte Bitcoin

    Nordrhein-Westfalen hat Bitcoin im achtstelligen Eurobereich beschlagnahmt und will diese jetzt loswerden - im Rahmen einer Auktion.

  3. Rust, Deepfake, Sony, Microsoft: Konsolen-Termin für Among Us, mehr Speicher für die Xbox
    Rust, Deepfake, Sony, Microsoft
    Konsolen-Termin für Among Us, mehr Speicher für die Xbox

    Sonst noch was? Was am 22. Oktober 2021 neben den großen Meldungen sonst noch passiert ist, in aller Kürze.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • Seagate SSDs & HDD günstiger (u. a. ext. HDD 14TB 326,99) • Dualsense PS5-Controller Weiß 57,99€ • MacBook Pro 2021 jetzt vorbestellbar • World of Tanks jetzt mit Einsteigerparket • Docking-Station für Nintendo Switch 9,99€ • Alternate-Deals (u. a. iPhone 12 Pro 512GB 1.269€) [Werbung]
    •  /