Clanstube Community

21. Dezember 2024 - 18:02
 

Zwei kritische Lücken in Firefox gestopft

SicherheitMit den Versionen 2.0.0.16 beziehungsweise 3.0.1 stopfen die Entwickler zwei Sicherheitslücken in Firefox, die sie als kritisch einstufen. Die Versionen sollten demnächst über den eingebauten Update-Mechanismus angeboten werden und auch auf den Download-Sites auftauchen.

Die eine Lücke beruht darauf, dass man Firefox beim Start mehrere URLs übergeben kann, die durch das Pipe-Symbol getrennt sind und dann unter verschiedenen Reitern geöffnet werden.

firefox 'http://heisec.de|ix.de'

Auf diesem Weg lassen sich offenbar die Sicherheitsvorkehrungen umgehen, die den Zugriff auf spezielle URIs wie chrome: absichern sollen. Das bedeutet, dass beispielsweise Skripte vollen Zugriff auf das System erlangen können. Fast schon skurril wirkt der von den Entwicklern angegebene Workaround. Weil der Angriff nur funktioniert, wenn Firefox neu gestartet werden muss, empfehlen sie: "Die Benutzung von Firefox [...] verhindert den Angriff".

Die andere Lücke bezieht sich auf einen möglichen Pufferüberlauf in einem Zähler, wie oft ein CSS-Objekt genutzt wird. Es handelt sich dabei vermutlich um das vor knapp vor einem Monat gemeldete Problem; es lässt sich unter geeigneten Umständen dazu ausnutzen, um Code einzuschleusen und auszuführen. Dieses Problem betrifft zwar auch den Mailer Thunderbird. Es kommt dort aber nur zum Tragen, wenn der Anwender das per Default abgeschaltete Ausführen von JavaScript aktiviert hat, was auch ohne diese Lücke keine gute Idee ist, weil es Missbrauch Tür und Tor öffnet.

Links:
- Quelle
- Firefox 2.0.0.16 release notes
- Security Advisories for Firefox 3.0

Kommentare

Es wurden noch keine Kommentare verfasst.

Kommentar schreiben

Bitte logge dich ein, um einen Kommentar zu verfassen.