Mozilla und Firefox: Drei weitere Sicherheitslücken

Sicherheitsexperten haben drei Lücken in den Windows-Versionen von Firefox und Mozilla entdeckt. Die Lecks erlauben unter anderem das Ausführen von Code sowie das Manipulieren der Browser-Einstellungen.

Auf nicht infizierten Systemen verhindern Firefox und Mozilla das Importieren von ausführbaren Dateien auf dem Desktop. Ein Angreifer könnte jedoch diesen Sicherheitsmechanismus umgehen, indem er dem Browser eine präparierte Bilddatei mit eingebettetem Code schickt. Denn Bilddateien lassen sich bei beiden Anwendungen bequem per Drag-and-Drop auf den Desktop ziehen. Der Trick lässt sich allerdings leicht enttarnen. Wird die manipulierte Datei auf das System geladen, so geben deren Endung beziehungsweise das Bild-Icon Aufschluss darüber, dass es sich um eine ausführbare Datei handelt.

Die zweite Lücke betrifft die Tabbed-Browsing-Funktion beziehungsweise den Javascript-Sicherheitsmanager. Dieser verhindert, dass ein präparierter Link auf ein bereits geöffnetes Tab-Fenster angezeigt wird. Links, die per Drag-and-Drop in ein neues Fenster gezogen werden, überprüft der Sicherheits-Manager allerdings nicht. Somit könnte ein erfolgreicher Angreifer beliebigen Code auf das fremde System einschleusen oder Cookies ausspionieren.

Durch auf dem System installierten Plug-ins wie Flash oder Opacity lässt sich schließlich die Browser-Konfiguration (about:config) temporär in einem verborgenen Frame beziehungsweise einem neuen Fenster verstecken und damit verändern. Damit dies gelingt, muss der User allerdings - beispielsweise durch den Einsatz eines präparierten DHTML-Spiels - dazu gebracht werden, auf einen bestimmten Bereich des Bildschirms zu klicken.

Die von Secunia als eher unkritisch eingestuften Lücken wurden bislang in Mozilla 1.7.5 und Firefox 1.0 festgestellt. Dass auch weitere Versionen gefährdet sind, ist laut Secunia jedoch nicht auszuschließen. Beide Browser-Versionen sind zudem von der Sicherheitslücke in der IDN-Implementierung betroffen, die vor wenigen Tagen entdeckt wurde. Patches zu den drei Lücken bietet Mozilla auf seiner Webseite. Beispielseiten zu den drei Lücken stellt deren Entdecker Michael Krax zur Verfügung. (bsc)

Die wichtigsten Aspekte zum Thema Sicherheit finden Sie auf über 230 Seiten in unserem tecCHANNEL-Compact "IT-Security", das Sie online zum Vorzugspreis von 8,90 Euro bestellen oder für 4,90 Euro als PDF herunterladen können. In unserem Premium-Bereich gibt es diese und weitere tecCHANNEL-Compact-Ausgaben kostenlos zum Download.

tecCHANNEL Buch-Shop

Literatur zum Thema Sicherheit

Titelauswahl

Titel von Pearson Education

Bücher

PDF-Titel (50 % billiger als Buch)

Downloads