Abo
  • Services:
Anzeige

Sicherheits-Update auch für Thunderbird

Mozilla-Entwickler stopfen URI-Lücke auch in ihrem E-Mail-Client

Nachdem die Mozilla-Entwickler die URI-Lücke im Zusammenspiel zwischen Firefox und Internet Explorer 7 eindämmten, folgt nun auch ein entsprechendes Update für den E-Mail-Client Thunderbird. Die Sicherheitslücke erlaubt es Dritten, Applikationen auf fremden Rechnern zu starten und ist nicht auf die Mozilla-Produkte beschränkt.

Die Sicherheitslücke die unter Window XP im Zusammenspiel mit dem Internet Explorer 7 auftritt, erlaubt es, fremden Code auf Windows-Rechnern auszuführen. Dabei kommen zwei Sicherheitslücken zusammen. Das eine von Billy Rios und Nate McFeters entdeckte Problem: URIs für bestimmte Protokolle lassen sich nutzen um eine Applikation auf dem System des Nutzers zu öffnen, je nach angegebener Datei-Endung. Dazu müssen die URIs mit "%00" bzw. "%" versehen werden, dann werden sie an einen Datei-Handler übergeben. So lassen sich Programme, deren Pfad bekannt ist, starten.

Anzeige

Das Problem tritt dann auf, wenn URIs für Protokolle in einer Applikation aufgerufen werden, die für diese nicht zuständig ist und sie stattdessen an eine andere übergibt. Bei Firefox ist dies beispielsweise "mailto", was eigentlich den E-Mail-Client aufrufen sollte, bei zum Beispiel Thunderbird "http".

Zusätzlich gefährlich wird dies durch eine zweite von Jesper Johansson entdeckte Lücke, durch die sich der aufgerufenen Applikation in begrenztem Rahmen Parameter übergeben lassen.

Firefox 2.0.0.6 und nun auch Thunderbird 2.0.0.6 sollen die bisher bekannten Möglichkeiten, eine dieser Sicherheitslücke zu nutzen, beseitigen - das eigentliche Problem bleibt aber bestehen, so die Mozilla-Entwickler. Das problematische Verhalten sei Teil des Windows-Shell-API und daher auch andere Internet-Applikationen neben Firefox betroffen. Heise Security dokumentiert die Probleme bei der URI-Übergabe auch bei Skype und Miranda.

Thunderbird 2.0.0.6 steht ab sofort unter mozilla.com zum Download bereit. Details zu den Änderungen finden sich in den Release Notes.


eye home zur Startseite
throgh 02. Aug 2007

Etwas was Linux besser macht als Windows ist die Behandlung und Protokollierung von...


OSNote / 02. Aug 2007



Anzeige

Stellenmarkt
  1. SICK AG, Reute bei Freiburg im Breisgau
  2. über Hanseatisches Personalkontor Mannheim, Mannheim
  3. Hornetsecurity GmbH, Hannover
  4. CAL Consult GmbH, Nürnberg


Anzeige
Top-Angebote
  1. 169,00€ (Vergleichspreis 214€)
  2. 3,36€ (Amazon Plus Produkt: Mindesteinkauf 20€)
  3. 485,00€ (Vergleichspreis 529€)

Folgen Sie uns
       


  1. Virb 360

    Garmins erste 360-Grad-Kamera nimmt 5,7K-Videos auf

  2. Digitalkamera

    Ricoh WG-50 soll Fotos bei extremen Bedingungen ermöglichen

  3. Wemo

    Belkin erweitert Smart-Home-System um Homekit-Bridge

  4. Digital Paper DPT-RP1

    Sonys neuer E-Paper-Notizblock wird 700 US-Dollar kosten

  5. USB Typ C Alternate Mode

    Thunderbolt-3-Docks von Belkin und Elgato ab Juni

  6. Sphero Lightning McQueen

    Erst macht es Brummbrumm, dann verdreht es die Augen

  7. VLC, Kodi, Popcorn Time

    Mediaplayer können über Untertitel gehackt werden

  8. Engine

    Unity bekommt 400 Millionen US-Dollar Investorengeld

  9. Neuauflage

    Neues Nokia 3310 soll bei Defekt komplett ersetzt werden

  10. Surface Studio

    Microsofts Grafikerstation kommt nach Deutschland



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Quantencomputer: Nano-Kühlung für Qubits
Quantencomputer
Nano-Kühlung für Qubits
  1. IBM Q Mehr Qubits von IBM
  2. Quantencomputer Was sind diese Qubits?
  3. Verschlüsselung Kryptographie im Quantenzeitalter

Tado im Langzeittest: Am Ende der Heizperiode
Tado im Langzeittest
Am Ende der Heizperiode
  1. Speedport Smart Telekom bringt Smart-Home-Funktionen auf den Speedport
  2. Tapdo Das Smart Home mit Fingerabdrücken steuern
  3. Mehr Möbel als Gadget Eine Holzfernbedienung für das Smart Home

Blackberry Keyone im Test: Tolles Tastatur-Smartphone hat zu kurze Akkulaufzeit
Blackberry Keyone im Test
Tolles Tastatur-Smartphone hat zu kurze Akkulaufzeit
  1. Blackberry Keyone kommt Mitte Mai
  2. Keyone Blackberrys neues Tastatur-Smartphone kommt später
  3. Blackberry Keyone im Hands on Android-Smartphone mit toller Hardware-Tastatur

  1. Re: Was mich grundsätzlich bei WaKü stört...

    ChoMar | 07:22

  2. Re: 700$ - Ich hätte da eine bessere Lösung...

    forenuser | 07:11

  3. Re: Alternativen?

    herrwusel | 07:10

  4. Re: Bessere Variante, da mit Android: Onyx Boox...

    forenuser | 07:05

  5. Re: 1400W... für welche Hardware?

    ArcherV | 06:51


  1. 07:16

  2. 07:08

  3. 18:10

  4. 10:10

  5. 09:59

  6. 09:00

  7. 18:58

  8. 18:20


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel