Original-URL des Artikels: https://www.golem.de/0407/32265.html    Veröffentlicht: 09.07.2004 10:12    Kurz-URL: https://glm.io/32265

Mozilla-Produkte umgehen schwere Windows-Sicherheitslücke

Patch für Mozilla, Firefox und Thunderbird erschienen

Nachdem am Abend des 7. Juli 2004 ein gefährliches Sicherheitsleck bekannt wurde, das nur auf Windows-Systemen in den drei Internet-Applikationen Mozilla, Firefox und Thunderbird auftritt, steht bereits ein passender Patch zum Download bereit. Das Sicherheitsloch erlaubt es einem Angreifer durch einen Programmfehler innerhalb von Windows, Programmcode auf einem fremden System auszuführen.

Die Sicherheitslücke betrifft nur die Windows-Ausführung der Web-Suite Mozilla, des Browsers Firefox und des E-Mail-Clients Thunderbird. Obwohl der Fehler im Grunde im Windows-System steckt, entschied sich das Mozilla-Team, die betreffende Funktion zu deaktivieren. Microsoft bereinigt das Problem selbst erst mit dem Service Pack 2 für Windows XP, das sich derzeit noch im Beta-Test befindet. Das Sicherheitsleck erlaubt es Angreifern, über URIs ein Shell-Kommando zu benutzen, um Programmcode auf einem fremden System auszuführen.

Der bereitgestellte Patch schaltet in Mozilla, Firefox und Thunderbird den "shell: external protocol handler" ab, so dass die Windows-Sicherheitslücke kein Risiko mehr darstellt. Alternativ lässt sich die Funktion "pref network.protocol-handler.external.shell" durch Stellen auf "false" in der Konfiguration manuell deaktivieren. Dabei ist allerdings zu beachten, dass dies immer nur für das gewählte Profil gilt, so dass dies bei mehreren Profil mehrfach vorgenommen werden muss.

Das Mozilla-Team bietet einen Sicherheits-Patch für alle früheren Versionen von Mozilla, Firefox und Thunderbird kostenlos zum Download an. Während der Patch aus Mozilla und Firefox heraus installiert wird, ist für Thunderbird etwas mehr Handarbeit vonnöten, da der Patch separat geladen und dann über das Extensions-Menü in die Software eingebunden werden muss. Alternativ stehen mit Mozilla 1.7.1, Firefox 0.9.2 sowie Thunderbird 0.7.2 aktualisierte Komplett-Downloads der Applikationen für die Windows-Plattform in englischer Sprache zur Verfügung. Zumindest von Firefox 0.9.2 ist bereits eine deutschsprachige Version zu haben.

Update:
Der norwegische Browser Opera ist von dem Sicherheitsleck nicht betroffen, weil die entsprechende Funktion aus Sicherheitsgründen gar nicht erst in den Browser integriert wurde. Da Microsoft das Sicherheitsloch in Windows erst mit dem Service Pack 2 für Windows XP beheben will, steckt das Sicherheitsleck auch im Internet Explorer.  (ip)


Verwandte Artikel:
Deutsche Version von Thunderbird 0.7.1 für alle Plattformen   
(01.07.2004, https://glm.io/32092 )
Mozilla 1.7 mit zahlreichen Neuerungen in Deutsch (Update)   
(18.06.2004, https://glm.io/31827 )
Deutsche Version von Firefox 0.9.1 ist fertig   
(01.07.2004, https://glm.io/32084 )
Firefox 0.9.1 mit Fehlerbereinigungen erschienen   
(29.06.2004, https://glm.io/32028 )
Juli 2018: Chrome bestraft Webseiten ohne HTTPS   
(09.02.2018, https://glm.io/132689 )

Links zum Artikel:
Firefox-Browser: http://www.firefox-browser.de
Mozilla (.org): http://www.mozilla.org
Mozilla (.org) - Firefox (ehemals Firebird): http://www.mozilla.org/products/firefox/
Mozilla (.org) - Firefox Downloads: http://www.mozilla.org/products/firefox/releases/
Mozilla (.org) - Mozilla Download: http://www.mozilla.org/releases/
Mozilla (.org) - Sicherheits-Patch für shell: external protocol handler: http://www.mozilla.org/security/shell.html
Mozilla (.org) - Thunderbird: http://www.mozilla.org/products/thunderbird/
Mozilla (.org) - Thunderbird Downloads: http://www.mozilla.org/products/thunderbird/releases/

© 1997–2019 Golem.de, https://www.golem.de/