Problem nicht behoben: Firefox macht den gleichen Fehler wie IE

In der letzten Woche haben die Mozilla-Entwickler mit der neuen Version Firefox 2.0.0.5 eine Sicherheitslücke in ihrem Browser gestopft, die sie eigentlich dem Internet Explorer vorwerfen. Dieser ermöglicht den Aufruf von so genannten URL-Handlern, die Firefox für sich registriert hat und versäumt dabei bestimmte Zeichen korrekt zu kodieren. Mittlerweile ist heraus gekommen, dass Firefox ebenso verfährt. Dieses Verhalten ist auch in Firefox 2.0.0.5 nicht abgestellt.

Das Angriffsszenario ist derzeit noch theoretischer Natur: eine entsprechend präparierte Web-Seite kann über den benutzten Browser einen URL-Handler, etwa "firefoxurl://" oder "skype://", aufrufen, der von einer anderen Anwendung registriert wurde. Wenn der Browser die gesamte Befehlszeichenkette unverändert durchreicht, kann ein Angreifer darüber im Prinzip beliebige Programme aufrufen. Durch spezielle Zeichenketten, die unkodierte Anführungszeichen enthalten, könnte der Angreifer etwa einen Pufferüberlauf in dem Programm verursachen und Malware einschleusen.

Die Diskussionen unter Fachleuten und selbst ernannten Experten gipfeln in der Frage, ob der gerade verwendete Browser dafür verantwortlich ist diese Befehlszeichenkette korrekt zu formatieren oder ob das Programm, das den URL-Handler registriert hat, prüfen muss, ob die übergebenen Zeichenkette korrekt ist.