172466

Firefox immer noch anfällig für Angriffe

05.09.2007 | 16:11 Uhr |

Auch die aktuelle Firefox-Version 2.0.0.6 kann noch mit Hilfe präparierter Links zum Starten von Anwendungen missbraucht werden. Die Mozilla-Entwickler haben das Kernproblem noch nicht beseitigt und wissen das auch.

Im Juli gab es innerhalb weniger Tage zwei Aktualisierungen für Firefox, die Versionsnummer stieg von 2.0.0.4 auf 2.0.0.6 . Grund waren bekannt gewordene Schwachstellen (nicht nur in Firefox), die Angriffe auf andere installierte Anwendungen ermöglichten. Bereits bei der Veröffentlichung von Firefox 2.0.0.6 hatten die Mozilla-Entwickler eingeräumt, dass sie im Sinne einer schnellen Lösung lediglich einen Flicken aufgesetzt haben, ohne den Kern des Problems anzugehen.

Wie die Sicherheitsforscher Billy Rios und Nate McFeters in ihren Blogs verkünden, haben sie eine Möglichkeit gefunden, wie auch Firefox 2.0.0.6 zum Angriff auf anfällige Anwendungen missbraucht werden kann. Wie es genau funktionieren soll, geben sie erstmal noch nicht bekannt. Sie haben Kontakt mit den Mozilla-Entwicklern aufgenommen und wollen ihnen zunächst die Gelegenheit geben, die Lücke mit einem Update zu stopfen.

Das Grundproblem liegt darin, dass es über für Firefox (oder einen anderen Browser) registrierte URI-Handler möglich ist, andere Anwendungen aufzurufen und ihnen dabei gezielt ungültige Parameter zu übergeben. Damit könnte eine Anwendung zum Absturz gebracht werden, wobei eingeschleuster schädlicher Code im Arbeitsspeicher verbleibt und ausgeführt wird.

Ein URI-Handler ist zunächst ein Registry-Eintrag, der festlegt, welche Anwendung für ein bestimmtes Protokoll zuständig ist. Ein solches Protokoll ist zum Beispiel "HTTP" für das Web, das in der URI (Uniform Resource Identifier: http://de.wikipedia.org/wiki/Uniform_Resource_Identifier) durch den Präfix "http://" zu erkennen ist. In der Registry ist etwa Firefox oder der IE als Standard-Browser festgelegt und damit für das HTTP-Protokoll zuständig.

Andere URI-Handler, die über Links in Web-Seiten angesprochen werden können, behandeln etwa Aufrufe vom Typ "mailto:" und starten das Mail-Programm. Bei ungewöhnlicheren Aufrufen fragt Firefox immerhin nach, bevor es die Anweisung durchleitet. Aber auch ein mailto:-Link lässt sich missbrauchen, wenn man die Windows-Automatismen ausnutzt, die bestimmte Dateitypen mit bestimmten Anwendungen verknüpfen. So deuten Billy Rios und Nate McFeters in ihrer Warnung an, dass man über einen mailto-Link den Windows Scripting Host dazu bringen könnte eine bestimmte VBS-Datei (Visual Basic Script) auszuführen.

Die reale Gefahr durch diese Schwachstellen, die sich auch mit anderen Browsern ausnutzen lassen, ist derzeit noch eher gering. Es sind bislang keine Angriffe auf Web-Nutzer bekannt geworden, die sich dieser Technik bedienen, obwohl Beispiel-Code öffentlich verfügbar ist. Mozillas Sicherheitschefin Window Snyder hat erklärt, Mozilla arbeite bereits an einer Lösung.

0 Kommentare zu diesem Artikel
172466