Microsoft punktet beim Sicherheits-Ping-Pong mit Mozilla
Im Streit ob Firefox oder Internet Explorer für ein Sicherheitsproblem verantwortlich sind, punkten jetzt die Redmonder. Windows-Spezialist Johansson demonstriert, dass Firefox, wie beim IE kritisiert, URLs ungefiltert weiterreicht.
Mit der Firefox-Version 2.0.0.5 hat das Mozilla-Team einen Fehler behoben, der sich über den Internet Explorer ausnutzen ließ. Dazu musste der Microsoft Browser Firefox als zuständigen Handler mit einer speziell präparierten URL aufrufen. Nach dem Bug-Fix warnte Mozillas Sicherheitsbeauftragte Window Snyder jedoch, dass der eigentliche Fehler in Internet Explorer damit nicht behoben sei und damit weiterhin ein Sicherheitsrisiko bestünde, das Microsoft zu beseitigen habe. In der Tat demonstrierte Nate Mcfeters kurz darauf, dass man über denselben Mechanismus via IE auch Code in den Instant Messenger Trillian einschleusen kann.
Konkret geht es darum, dass die URL Anführungszeichen enthalten kann, was dazu führt, dass sie bei der aufgerufenen Anwendung in mehreren Teilen ankommt, die als separate Parameter interpretiert werden. Nach Snyders Interpretation muss der Browser diese Anführungszeichen passend filtern. Das IE-Team stellt sich hingegen auf den Standpunkt, dass dies kein Fehler im Internet Explorer sei. Es sei allein die Aufgabe des Handlers, der sich für einen URL-Typ registriert, diesen passend zu bereinigen. Diesen Standpunkt spiegelt auch die Dokumentation im MSDN wider.
Die unklare Gemengelage führte zu heftigen Diskussionen, wer denn nun wirklich Schuld sei. Den neuesten Coup landete der frühere Microsoft-Sicherheits-Stratege Jesper Johansson. Er demonstrierte in seinem etwas gehässigen Blog-Eintrag "Hey, Mozilla: Quotes Are Not Legal in a URL" en detail, dass sich Mozilla exakt genauso verhält wie der Internet Explorer und im Zweifelsfall URLs ungefiltert an externe Applikationen weiterreicht.
Mozillas Snyder hat daraufhin etwas betreten, aber ohne direkten Verweis auf Johannson eingestanden, dass in der Tat auch Firefox ein Sicherheitsproblem beim Aufruf externer Applikationen habe und man den Sachverhalt derzeit untersuche. Außerdem räumt sie ein, dass man dieses Problem beim Erstellen des FIxes für 2.0.0.5 bereits hätte finden und beheben müssen. Immerhin findet sich in der Fehlerdatenbank jetzt bereits ein Patch.
Vielleicht eröffnet das die Chance, die Diskussion von Schuldzuweisungen wieder auf die technische Ebene zu bringen. Es wäre nämlich für die Hersteller von Applikationen und letztlich auch für die Anwender wünschenswert, wenn sich die zwei größten Browser-Hersteller einigen könnten, ob der Browser nun für das Filtern von URLs zuständig ist oder nicht. (ju)
