Mit den
Versionen 2.0.0.16 beziehungsweise 3.0.1 stopfen die Entwickler zwei Sicherheitslücken in
Firefox, die sie als kritisch einstufen. Die Versionen sollten demnächst über den eingebauten Update-Mechanismus angeboten werden und auch auf den Download-Sites auftauchen.
Die eine Lücke beruht darauf, dass man Firefox beim Start mehrere URLs übergeben kann, die durch das Pipe-Symbol getrennt sind und dann unter verschiedenen Reitern geöffnet werden.
firefox 'http://heisec.de|ix.de'
Auf diesem Weg lassen sich offenbar die Sicherheitsvorkehrungen umgehen, die den Zugriff auf spezielle URIs wie chrome: absichern sollen. Das bedeutet, dass beispielsweise Skripte vollen Zugriff auf das System erlangen können. Fast schon skurril wirkt der von den Entwicklern angegebene Workaround. Weil der Angriff nur funktioniert, wenn Firefox neu gestartet werden muss, empfehlen sie: "Die Benutzung von Firefox [...] verhindert den Angriff".
Die andere Lücke bezieht sich auf einen möglichen Pufferüberlauf in einem Zähler, wie oft ein CSS-Objekt genutzt wird. Es handelt sich dabei vermutlich um das vor knapp vor einem Monat
gemeldete Problem; es lässt sich unter geeigneten Umständen dazu ausnutzen, um Code einzuschleusen und auszuführen. Dieses Problem betrifft zwar auch den Mailer Thunderbird. Es kommt dort aber nur zum Tragen, wenn der Anwender das per Default abgeschaltete Ausführen von JavaScript aktiviert hat, was auch ohne diese Lücke keine gute Idee ist, weil es Missbrauch Tür und Tor öffnet.
Links:
-
Quelle
-
Firefox 2.0.0.16 release notes
-
Security Advisories for Firefox 3.0