135320

Neue Sicherheitslücken in Firefox

09.05.2005 | 14:19 Uhr |

Durch zwei neu entdeckte Sicherheitslücken in Firefox 1.0.3 kann ein Angreifer beliebigen Code einschleusen und ausführen.

In Firefox 1.0.3 wurden zwei Sicherheitslücken entdeckt und veröffentlicht. Sie ermöglichen das Einschleusen und Ausführen beliebiger Programme. Es gibt noch kein Update für Firefox, das die Schwachstellen beseitigt. Ferner wurde eine Demonstration veröffentlicht, die zeigt, wie diese Sicherheitslücken ausgenutzt werden können ("Exploit").

Die Sicherheitslücken wurden von Greyhat Security und Michael Krax entdeckt. Durch die Kombination beider Schwachstellen kann die Firefox-Funktion zur Installation von Extensions (Erweiterungen) ausgenutzt werden, um beliebige Programme auszuführen. Normalerweise kann diese Funktion nur von Scripten gestartet werden, die von update.mozilla.org oder addon.mozilla.org aus aufgerufen werden. Die beiden Sicherheitsexperten fanden jedoch einen Weg, wie dieser Schutz mittels Javascript umgangen werden kann.

Die Mozilla-Entwickler haben zunächst ihre Web-Server so modifiziert, dass der verwendete Trick so nicht mehr funktioniert. Es ist allerdings möglich den Demo-Exploit so anzupassen, dass er wieder funktioniert. Eine aktualisierte Version von Firefox gibt es zurzeit noch nicht. An einem Update wird gearbeitet. Es wird in Firefox 1.0.4 enthalten sein, das möglichst noch in dieser Woche bereit gestellt werden soll. Bis dahin wird empfohlen in Firefox die Software-Installation zu deaktivieren (Extras->Einstellungen->Web-Features), besser noch: man sollte Javascript ausschalten.

0 Kommentare zu diesem Artikel
135320