0-Day und hoch kritisch: Ungepatchte Schwachstellen in Firefox 2.0.x

Die Schwachstellen lassen sich für Spoofing, Enthüllung sensitiver Informationen oder Systemzugriff ausnutzen. Mittels Sicherheitslücke Eins lassen sich auf Grund eines Fehlers im „wyciwyg://“-URI-Handler Seite mit einer HTTP-302-Anfrage weiterleiten. Die Schwachstelle ist bestätigt für Firefox 2.0.0.4. Andere Versionen könnten ebenfalls betroffen sein.

Schwachstelle Zwei liegt im „firefoxurl://“-URI-Handler. Dieser erlaubt Firefox, beliebige Kommandozeilen-Befehle auszuführen. Mittels „-chrome“-Parameter ist es möglich, beliebigen Javascript-Code im chrome-Context auszuführen. Dies lässt sich zum Beispiel ausnutzen, wenn ein Anwender eine schadhafte Seite mit dem Internet Explorer aufruft. Die Schwachstelle ist bestätigt auf einem voll gepatchten Windows XP SP2 und Firefox 2.0.0.4. Andere Konstellationen könnten ebenfalls betroffen sein. Die Experten raten, dass Anwender sich nur auf vertrauenswürdigen Seiten aufhalten. Ein Patch steht derzeit nicht zur Verfügung. Jedoch könnten Anwender den „Firefox URL“-Handler deaktivieren. Genauere Informationen finden Sie hier. (jdo)

Sie interessieren sich für Linux? Dann abonnieren Sie doch den kostenlosen Linux-Newsletter von tecCHANNEL. Er wird in der Regel einmal pro Woche am Freitag verschickt und enthält nur die für Linux-Anwender relevanten News und Beiträge von tecChannel.de. So sparen Sie Zeit und sind trotzdem voll informiert. Hier geht es zur Anmeldeseite.