Hoch kritische Lücke in Firefox
Betroffen ist die Funktion zum Updaten des Browsers und zum Installieren von Add-ons. Kombiniert der Angreifer eine Lücke im JavaScript "Iframe" und eine im Parameter "IconURL" in "InstallTrigger.install()", kann er beliebigen Code auf dem System installieren und ausführen. Der Angreifer muss einen Benutzer lediglich dazu bringen, dass er einer speziell präparierten Seite erlaubt, Software zu installieren.
Problematisch wurde das Ganze, als im Internet erste lauffähige Beispiele der Lücke (Exploits) auftauchten. Inzwischen hat das Mozilla-Team reagiert und am Server ein Update vorgenommen. Zumindest das von der Gruppe FrSIRT vorgestellte Exploit funktioniert nun nicht mehr, ebenso wenig das Beispiel der Sicherheitsexperten von Greyhat-Security. Betroffen ist die Firefox-Version 1.0.3, der Fehler soll in der kommenden Version 1.0.4 bereinigt sein. Bis es so weit ist, können sich Anwender schützen, indem sie JavaScript deaktivieren. Weitere Details finden Sie im tecCHANNEL Security-Report 6515.
Über aktuelle Sicherheitslücken informieren Sie die Security Reports von tecCHANNEL in Kooperation mit Secunia. Sie können diesen Dienst auch als kostenlosen Newsletter oder tägliche Übersicht abonnieren. Premium-Kunden haben zudem die Möglichkeit, sich bei hochkritischen Lücken per Security Alert informieren zu lassen. (mja)
tecCHANNEL Buch-Shop |
|
---|---|
Literatur zum Thema IT-Sicherheit |
Titelauswahl |
Titel von Pearson Education |
|
PDF-Titel (50% billiger als Buch) |