www.thailaendisch.de

Drei Sicherheitslücken im Firefox/Mozilla gefunden!

Diskutiere Drei Sicherheitslücken im Firefox/Mozilla gefunden! im Computer-Board Forum im Bereich Diverses; Drei Fehler in Firefox und Mozilla Die freien Web-Browser Firefox 1.0 und Mozilla 1.7.5 enthalten unter Windows drei Schwachstellen, mit denen...
A

a_2

Gast
Drei Fehler in Firefox und Mozilla

Die freien Web-Browser Firefox 1.0 und Mozilla 1.7.5 enthalten unter Windows drei Schwachstellen, mit denen Angreifer Benutzer überlisten können, ausführbare Dateien auf ihr System zu laden, die Konfiguration des Browsers ungewollt zu verändern und untergejubelte Befehle auf dem PC auszuführen. Der Sicherheitsspezialist Michael Krax hat zu jedem der Fehler eine Demo-Seite veröffentlicht, die das Problem veranschaulicht. Bei allen ist zwar eine erhebliche Interaktion des Nutzers notwendig, allerdings dürfte nicht allen Anwendern die Manipulation unbedingt auffallen.

Die erste Demo Firedragging zeigt das Fehlverhalten von Firefox und Mozilla beim Drag & Drop von Objekten aus einer Web-Seite heraus auf den Desktop. Normalerweise erlaubt der Browser dies nur für Bilder. Bei anderen Objekten wie ausführbaren Dateien legt er nur einen Link dorthin an. Allerdings reagiert er großzügiger bei so genannten Hybrid-Dateien, die beides sind, nämlich sowohl Bild als auch Batch-Datei. Bei der Darstellung des Objektes in einer Web-Seite zeigt er zwar das Bild an, beim Ziehen auf den Desktop wird daraus plötzlich eine Batch-Datei. Der unbedarfte Anwender dürfte sich wundern, was aus seinem Bild geworden ist und unter Umständen auf die Batch-Datei doppelklicken -- die bekannte Endung .bat wird ja standardmäßig unter Windows ausgeblendet. Einen ähnlichen Bildtrick hat schon der Sicherheitsexperte http-equiv bei einer Lücke im Internet Explorer eingesetzt. Allerdings war dort HTML-Code in einem GIF eingebettet, statt der Batch-Befehle in der vorliegenden Demo.

Der zweite Fehler betrifft den Javascript Security Manager und das Tabbed Browsing. Der Manager verhindert, dass Javascript-Links Inhalte in bereits geöffneten Fenstern aufrufen können. Zieht man aber einen derartigen Link auf einen Tab, so greift der Security Manager nicht ein. Zwar ist das Ziehen von Links auf vorhandene Tabs zum Öffnen einer neuen Seite keine häufig angewendete Methode, allerdings sind die Auswirkungen umso bedenklicher. So kann der Angreifer bei Web-Seiten mit Authentifizierung den Cookie auslesen. Bei Web-Seiten, die Software installieren dürfen -- etwa update.mozilla.org --, bekommt man plötzlich die Installation von Software angeboten. Ist in einem Tab die Konfigurationsseite about:config geöffnet, so führt das Ziehen des Links dorthin zum Ausführen von beliebigen Befehlen des Angreifers. In der Demo Firetabbing findet man beispielsweise unter c:\ die Datei booom.txt wieder.

Mit der letzten Demo Fireflashing zeigt Krax, wie man das Flash-Plugin und den Opacity-Filter (Durchsichtigkeit) von Firefox missbrauchen kann, um about:config in einem unsichtbaren Frame darzustellen. Ein Doppelklick auf eine bestimmte Stelle in diesem Frame schaltet dann den Parameter um, auf den der Cursor zeigt. Der Anwender bleibt allerdings in dem Glauben, auf ein leeres Feld geklickt zu haben.

Die Entwickler sind über die Fehler informiert und haben sie bereits in den Nightly Builds von Firefox beseitigt. Da diese aber nicht ausreichend getestet werden, sollten Anwender lieber bis zum Erscheinen der Version 1.0.1 warten. Wann dies soweit ist, ist aber noch unklar.

Quelle: Heise Newsticker
 
Thema:

Drei Sicherheitslücken im Firefox/Mozilla gefunden!

Drei Sicherheitslücken im Firefox/Mozilla gefunden! - Ähnliche Themen

  • Jemand hier der in den letzten Drei Jahren eine Laotin geheiratet hat? Suche Tips

    Jemand hier der in den letzten Drei Jahren eine Laotin geheiratet hat? Suche Tips: Hallo zusammen,<br>Also falls es irgend jemanden gibt der eine Laotin geheiratet, hat würde ich mich über tips freuen.<br> Ich habe dies vor und...
  • Drei Tage NO-Isaan - Teil II: Nam Tok Chet Si und Wat Kham Chanot

    Drei Tage NO-Isaan - Teil II: Nam Tok Chet Si und Wat Kham Chanot: Drei Tage NO-Isaan - Teil II: Nam Tok Chet Si und Wat Kham Chanot Anfahrt über die 227/222 von Kalasin Drei Tage war ich mit...
  • Drei Tage NO-Isaan - Teil II: Nam Tok Chet Si und Wat Kham Chanot

    Drei Tage NO-Isaan - Teil II: Nam Tok Chet Si und Wat Kham Chanot: Drei Tage NO-Isaan - Teil II: Nam Tok Chet Si und Wat Kham Chanot Anfahrt über die 227/222 von Kalasin Drei Tage war ich...
  • Drei Tage NO-Isan - Teil I: Bueng Khong Long und Phu Tok

    Drei Tage NO-Isan - Teil I: Bueng Khong Long und Phu Tok: Drei Tage NO-Isan - Teil I: Bueng Khong Long und Phu Tok Anfahrt über die 227/222 von Kalasin Drei Tage war ich mit dem Bike...
  • Wir basteln uns einen Kampffisch, oder auch zwei, oder drei...

    Wir basteln uns einen Kampffisch, oder auch zwei, oder drei...: Nach meinem achtwöchigen Aufenthalt im Norden Thailands kam irgendwan naber auch die Zeit der Rückkehr. Am Tag vor dem Rückflug nach Deutschland...
  • Wir basteln uns einen Kampffisch, oder auch zwei, oder drei... - Ähnliche Themen

  • Jemand hier der in den letzten Drei Jahren eine Laotin geheiratet hat? Suche Tips

    Jemand hier der in den letzten Drei Jahren eine Laotin geheiratet hat? Suche Tips: Hallo zusammen,<br>Also falls es irgend jemanden gibt der eine Laotin geheiratet, hat würde ich mich über tips freuen.<br> Ich habe dies vor und...
  • Drei Tage NO-Isaan - Teil II: Nam Tok Chet Si und Wat Kham Chanot

    Drei Tage NO-Isaan - Teil II: Nam Tok Chet Si und Wat Kham Chanot: Drei Tage NO-Isaan - Teil II: Nam Tok Chet Si und Wat Kham Chanot Anfahrt über die 227/222 von Kalasin Drei Tage war ich mit...
  • Drei Tage NO-Isaan - Teil II: Nam Tok Chet Si und Wat Kham Chanot

    Drei Tage NO-Isaan - Teil II: Nam Tok Chet Si und Wat Kham Chanot: Drei Tage NO-Isaan - Teil II: Nam Tok Chet Si und Wat Kham Chanot Anfahrt über die 227/222 von Kalasin Drei Tage war ich...
  • Drei Tage NO-Isan - Teil I: Bueng Khong Long und Phu Tok

    Drei Tage NO-Isan - Teil I: Bueng Khong Long und Phu Tok: Drei Tage NO-Isan - Teil I: Bueng Khong Long und Phu Tok Anfahrt über die 227/222 von Kalasin Drei Tage war ich mit dem Bike...
  • Wir basteln uns einen Kampffisch, oder auch zwei, oder drei...

    Wir basteln uns einen Kampffisch, oder auch zwei, oder drei...: Nach meinem achtwöchigen Aufenthalt im Norden Thailands kam irgendwan naber auch die Zeit der Rückkehr. Am Tag vor dem Rückflug nach Deutschland...
  • Oben