Schon wieder sind Sicherheitslücken in den aktuellen Versionen von Internet Explorer und Mozilla Firefox entdeckt worden.

Internet Explorer:
Auf der renommierten Sicherheits-Mailing-Liste Bugtraq hat ein Autor unter dem der Pseudonym "porkythepig" eine Lücke im IE über Active Scripting und Macromedias Flash-Plugin veröffentlicht. Wenn ein Flash-Objekt eine VB.Script-Funktion aufrufe, die eine Javascript-Routine startet, könne der Browser zum Absturz gebracht werden. Nach unbestätigten Aussagen des Autors lasse sich danach Code einschleusen und zur Ausführung bringen. Die Lücke sei auch auf Windows XP SP2-Systemen vorhanden. Microsoft hat dazu noch nicht Stellung bezogen.

Mozilla Firefox:
Auch im Firefox ist eine neue Sicherheitslücke dokumentiert worden: Das eigene CSS-Objekt "-moz-binding" lasse sich demnach von Websites benutzen, um JavaScript in das Document Object Model (DOM) einzuschleusen. Das mache den Zugriff auf Informationen von anderen gleichzeitig geöffneten Webseiten möglich - Cross-Site-Scripting-Attacken also. Die Lücke wird derzeit in den Bug-Foren von Mozilla diskutiert. Betroffen seien alle aktuellen Browser des Projekts - auch die erst kürzlich erschienene Firefox-Version 1.5.0.1 sowie Seamonkey 1.0.

Was kann man tun?
Abhilfe für beide Lücken schafft derzeit nur das Deaktivieren von Active Scripting oder JavaScript in den Browsern. Bei Firefox macht es die NoScript-Extension möglich, das Ausführen von Javascript-Befehlen für einzelne Domains freizugeben

Links:
- Quelle