Black-Scorpion
2005-05-08, 22:19:56
---
Kritisches Sicherheitsloch im Firefox-Browser [Update]
Das French Security Incident Response Team, früher bekannt als k-otik.com, hat einen Exploit für die aktuelle Version (1.0.3) von Firefox veröffentlicht, mit der Web-Seiten Windows-Anwendern beliebigen Code unterjubeln und diesen ausführen können. Ursache des Problems ist ein Fehler bei der Verarbeitung von Add-ons (Firefox Extensions) durch bestimme JavaScripte. Dadurch kann eine Web-Seite Code im Chrome-Kontext ausführen -- ähnlich der lokalen Zone des Internet Explorers. Chrome-URLs dürfen quasi beliebig auf lokale Ressourcen zugreifen, lassen sich jedoch normalerweise aus Web-Seiten heraus nicht aufrufen. Aber bereits bei den zuletzt in Firefox und Mozilla aufgedeckten Sicherheitslücken zeigte sich, dass Angreifer diese Restriktionen leicht umgehen können.
Der nun aufgetauchte Proof-of-Concept-Exploit schreibt eine Batch-Datei auf das Laufwerk C: und startet sie anschließend. Dazu muss der Anwender nur irgendwo innerhalb des Firefox-Browser-Fensters klicken. Die Demo öffnet nur die Eingabeaufforderung, echter Schadcode hätte so etwa eine Backdoor oder einen Trojaner installieren können. Ein Patch ist derzeit nicht verfügbar, Abhilfe schafft das Abschalten von JavaScript. Die Entwickler sind über die Schwachstelle bereits informiert und schlagen alternativ vor, unter Extras\Einstellungen\Web-Features die Option "Websites das Installieren von Software erlauben" zu deaktivieren. .....
---
Quelle: http://www.heise.de/newsticker/meldung/59374
Kritisches Sicherheitsloch im Firefox-Browser [Update]
Das French Security Incident Response Team, früher bekannt als k-otik.com, hat einen Exploit für die aktuelle Version (1.0.3) von Firefox veröffentlicht, mit der Web-Seiten Windows-Anwendern beliebigen Code unterjubeln und diesen ausführen können. Ursache des Problems ist ein Fehler bei der Verarbeitung von Add-ons (Firefox Extensions) durch bestimme JavaScripte. Dadurch kann eine Web-Seite Code im Chrome-Kontext ausführen -- ähnlich der lokalen Zone des Internet Explorers. Chrome-URLs dürfen quasi beliebig auf lokale Ressourcen zugreifen, lassen sich jedoch normalerweise aus Web-Seiten heraus nicht aufrufen. Aber bereits bei den zuletzt in Firefox und Mozilla aufgedeckten Sicherheitslücken zeigte sich, dass Angreifer diese Restriktionen leicht umgehen können.
Der nun aufgetauchte Proof-of-Concept-Exploit schreibt eine Batch-Datei auf das Laufwerk C: und startet sie anschließend. Dazu muss der Anwender nur irgendwo innerhalb des Firefox-Browser-Fensters klicken. Die Demo öffnet nur die Eingabeaufforderung, echter Schadcode hätte so etwa eine Backdoor oder einen Trojaner installieren können. Ein Patch ist derzeit nicht verfügbar, Abhilfe schafft das Abschalten von JavaScript. Die Entwickler sind über die Schwachstelle bereits informiert und schlagen alternativ vor, unter Extras\Einstellungen\Web-Features die Option "Websites das Installieren von Software erlauben" zu deaktivieren. .....
---
Quelle: http://www.heise.de/newsticker/meldung/59374