IE und Firefox mit neuen Sicherheitslecks

Auf der renommierten Sicherheits-Mailing-Liste Bugtraq hat ein Autor unter dem Pseudonym "porkythepig" eine Lücke im IE über Active Scripting und Macromedias Flash-Plug-in veröffentlicht. Wenn ein Flash-Objekt eine VB.Script-Funktion aufrufe, die eine Javascript-Routine startet, könne der Browser zum Absturz gebracht werden. Nach unbestätigten Aussagen des Autors lasse sich danach Code einschleusen und zur Ausführung bringen. Die Lücke sei auch auf Windows-XP-SP2-Systemen vorhanden. Microsoft hat dazu noch nicht Stellung bezogen.

Auch im Mozilla Firefox ist eine neue Sicherheitslücke dokumentiert worden: Das eigene CSS-Objekt "-moz-binding" lasse sich demnach von Websites benutzen, um JavaScript in das Document Object Model (DOM) einzuschleusen. Das mache den Zugriff auf Informationen von anderen gleichzeitig geöffneten Webseiten möglich - Cross-Site-Scripting-Attacken also. Die Lücke wird derzeit in den Bug-Foren von Mozilla diskutiert. Betroffen seien alle aktuellen Browser des Projekts - auch die erst kürzlich erschienene Firefox-Version 1.5.0.1 sowie Seamonkey 1.0.

Abhilfe für beide Lücken schafft derzeit nur das Deaktivieren von Active Scripting oder JavaScript in den Browsern. Bei Firefox macht es die NoScript-Extension möglich, das Ausführen von Javascript-Befehlen für einzelne Domains freizugeben. (uka)