Abo
  • Services:
Anzeige

Sicherheits-Update auch für Thunderbird

Mozilla-Entwickler stopfen URI-Lücke auch in ihrem E-Mail-Client

Nachdem die Mozilla-Entwickler die URI-Lücke im Zusammenspiel zwischen Firefox und Internet Explorer 7 eindämmten, folgt nun auch ein entsprechendes Update für den E-Mail-Client Thunderbird. Die Sicherheitslücke erlaubt es Dritten, Applikationen auf fremden Rechnern zu starten und ist nicht auf die Mozilla-Produkte beschränkt.

Die Sicherheitslücke die unter Window XP im Zusammenspiel mit dem Internet Explorer 7 auftritt, erlaubt es, fremden Code auf Windows-Rechnern auszuführen. Dabei kommen zwei Sicherheitslücken zusammen. Das eine von Billy Rios und Nate McFeters entdeckte Problem: URIs für bestimmte Protokolle lassen sich nutzen um eine Applikation auf dem System des Nutzers zu öffnen, je nach angegebener Datei-Endung. Dazu müssen die URIs mit "%00" bzw. "%" versehen werden, dann werden sie an einen Datei-Handler übergeben. So lassen sich Programme, deren Pfad bekannt ist, starten.

Anzeige

Das Problem tritt dann auf, wenn URIs für Protokolle in einer Applikation aufgerufen werden, die für diese nicht zuständig ist und sie stattdessen an eine andere übergibt. Bei Firefox ist dies beispielsweise "mailto", was eigentlich den E-Mail-Client aufrufen sollte, bei zum Beispiel Thunderbird "http".

Zusätzlich gefährlich wird dies durch eine zweite von Jesper Johansson entdeckte Lücke, durch die sich der aufgerufenen Applikation in begrenztem Rahmen Parameter übergeben lassen.

Firefox 2.0.0.6 und nun auch Thunderbird 2.0.0.6 sollen die bisher bekannten Möglichkeiten, eine dieser Sicherheitslücke zu nutzen, beseitigen - das eigentliche Problem bleibt aber bestehen, so die Mozilla-Entwickler. Das problematische Verhalten sei Teil des Windows-Shell-API und daher auch andere Internet-Applikationen neben Firefox betroffen. Heise Security dokumentiert die Probleme bei der URI-Übergabe auch bei Skype und Miranda.

Thunderbird 2.0.0.6 steht ab sofort unter mozilla.com zum Download bereit. Details zu den Änderungen finden sich in den Release Notes.


eye home zur Startseite
throgh 02. Aug 2007

Etwas was Linux besser macht als Windows ist die Behandlung und Protokollierung von...


OSNote / 02. Aug 2007



Anzeige

Stellenmarkt
  1. SICK AG, Waldkirch bei Freiburg im Breisgau
  2. e.solutions GmbH, Ingolstadt
  3. Bayerische Versorgungskammer, München
  4. über persona service Koblenz, Koblenz


Anzeige
Spiele-Angebote
  1. (-63%) 21,99€
  2. 6,99€
  3. (-75%) 9,99€

Folgen Sie uns
       

Anzeige
Whitepaper
  1. Globale SAP-Anwendungsunterstützung durch Outsourcing


  1. Internet of Things

    Fehler in Geschirrspüler ermöglicht Zugriff auf Webserver

  2. Vikings im Kurztest

    Tiefgekühlt kämpfen

  3. Deep Sea Mining

    Nautilus Minerals will Gold auf dem Meeresgrund abbauen

  4. Festplatten zerstören

    Wie man in 60 Sekunden ein Datencenter auslöscht

  5. Supercomputer

    HPE und BASF kooperieren für die industrielle Chemie

  6. Lufthansa

    Hyperloop könnte innerdeutsche Flüge ersetzen

  7. Blitzkrieg 3

    Neuronale-Netzwerke-KI für Echtzeit-Strategiespiel verfügbar

  8. Mobilfunk

    Fonic Smart S erhält mehr Datenvolumen

  9. Gesetzesentwurf

    Ein Etikettenschwindel bremst das automatisierte Fahren aus

  10. Triby Family

    Portabler Lautsprecher mit E-Paper-Display wird Alexa-fähig



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Mobile-Games-Auslese: Würfelkrieger und Kartendiebe für mobile Spieler
Mobile-Games-Auslese
Würfelkrieger und Kartendiebe für mobile Spieler

Hannover: Die Sommer-Cebit wird teuer
Hannover
Die Sommer-Cebit wird teuer
  1. Hannover Pavillons für die Sommer-Cebit sind schon ausgebucht
  2. Ab 2018 Cebit findet künftig im Sommer statt
  3. Modell 32UD99 LGs erster HDR-Monitor mit USB-C kommt nach Deutschland

Live-Linux: Knoppix 8.0 bringt moderne Technik für neue Hardware
Live-Linux
Knoppix 8.0 bringt moderne Technik für neue Hardware

  1. Re: Warum nicht mal die Bahn beschleunigen?

    DAUVersteher | 14:32

  2. Welche Daten speichert denn...

    derbumm | 14:32

  3. Re: Saeure ? Hydraulische Presse ?

    sh4itan | 14:30

  4. Re: Hoffentlich verlangt jemand von denen eine...

    schily | 14:30

  5. Re: Miele sitzt da auf nem ziemlich hohen Roß....

    Mel | 14:29


  1. 14:15

  2. 14:00

  3. 13:30

  4. 12:00

  5. 11:03

  6. 10:43

  7. 10:28

  8. 09:47


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel