165844

FTP-Sicherheitslücke in Firefox und Chrome

28.10.2008 | 15:34 Uhr |

In den Web-Browsern Mozilla Firefox und Google Chrome ist eine Sicherheitslücke entdeckt worden, die sich ausnutzen lässt, um beliebige Scripte auszuführen. Sicherheits-Updates sind in Vorbereitung.

Die Browser Firefox und Google Chrome (Beta) sind anfällig für einen Cross-Site Scripting-Angriff, der sich des File Transfer Protocol (FTP) bedient. Dabei wird Script-Code in Dateien versteckt, die scheinbar einem ganz anderen Zweck dienen, etwa vermeintliche JPG-Bilder, PDF- oder Textdateien. Folgt ein Benutzer einem FTP-Link, können diese Scripte ausgeführt werden.

Betroffen sind laut einem Bericht von Security Focus Firefox 3.x, einschließlich der aktuellen Version 3.0.3, sowie Google Chrome Beta bis Version 0.2.149. Sicherheits-Updates, die diese Schwachstellen beheben, sind derzeit noch nicht verfügbar, sollen jedoch in Vorbereitung sein. Wie Michael St. Neitzel im Sunbelt Blog berichtet, soll Firefox 3.0.4 bereits in Arbeit sein.

Das Problem liegt darin, dass die Browser den Dateityp nicht sorgfältig genug überprüfen. Die Entdeckung dieser Sicherheitslücke wird Muris Kurgas zugeschrieben, einem Sicherheitsforscher aus Belgrad, der bereits mehrere Software-Schwachstellen aufgedeckt hat - unter anderem im VLC Player.

0 Kommentare zu diesem Artikel
165844