Kritisches Sicherheitsloch im Firefox-Browser [Update]
Eine kritische Lücke in Firefox 1.0.3 ermöglicht Angreifern, Besucher von Web-Seiten Schadcode unterzujubeln. Ein Exploit dafür kursiert seit kurzem im Internet.
Das French Security Incident Response Team, früher bekannt als k-otik.com, hat einen Exploit für die aktuelle Version (1.0.3) von Firefox veröffentlicht, mit der Web-Seiten Windows-Anwendern beliebigen Code unterjubeln und diesen ausführen können. Ursache des Problems ist ein Fehler bei der Verarbeitung von Add-ons (Firefox Extensions) durch bestimme JavaScripte. Dadurch kann eine Web-Seite Code im Chrome-Kontext ausführen -- ähnlich der lokalen Zone des Internet Explorers. Chrome-URLs dürfen quasi beliebig auf lokale Ressourcen zugreifen, lassen sich jedoch normalerweise aus Web-Seiten heraus nicht aufrufen. Aber bereits bei den zuletzt in Firefox und Mozilla aufgedeckten Sicherheitslücken zeigte sich, dass Angreifer diese Restriktionen leicht umgehen können.
Der nun aufgetauchte Proof-of-Concept-Exploit schreibt eine Batch-Datei auf das Laufwerk C: und startet sie anschließend. Dazu muss der Anwender nur irgendwo innerhalb des Firefox-Browser-Fensters klicken. Die Demo öffnet nur die Eingabeaufforderung, echter Schadcode hätte so etwa eine Backdoor oder einen Trojaner installieren können. Ein Patch ist derzeit nicht verfügbar, Abhilfe schafft das Abschalten von JavaScript. Die Entwickler sind über die Schwachstelle bereits informiert und schlagen alternativ vor, unter Extras\Einstellungen\Web-Features die Option "Websites das Installieren von Software erlauben" zu deaktivieren.
Die vorliegende Demo scheint aber nicht auf allen Systemen stabil zu funktionieren. Bei einem Test der heise-Security-Redaktion auf einem 64-Bit-System schlug die Demo unter Windows XP SP2 mit Firefox 1.0.3 fehl. Da der Fehler aber nach bisherigen Erkenntnissen nicht auf einem Buffer Overflow beruht, dürfte die "Data Execution Prevention" (DEP, Datenausführungverhinderung) nicht dafür verantwortlich sein. Auf einem 32-Bit-System mit Windows XP SP2 und Firefox 1.0.3 öffnete sich die Eingabeaufforderung, in Firefox 1.0.2 scheint der Fehler wiederum nicht enthalten zu sein.
Die Veröffentlichung des Exploits war eigentlich noch nicht geplant. Nach Angaben des Autors des Original-Exploits, Paul von Greyhat-Security, muss jemand seinen Server geknackt haben und den Code gestohlen haben. Nach heise Security vorliegenden Information ist die Original-Demo aber bereits seit mehreren Tagen im Internet erreichbar, die URL war allerdings nur wenigen Personen bekannt.
Update
Offenbar hat die Mozilla Foundation mittlerweile ihren Add-on-Server modifiziert, sodass der Exploit nicht mehr funktioniert. Dieser missbraucht nämlich unter anderem die Installationsfunktionen für Erweiterungen, um Schadcode in den Rechner zu schleusen. Standardmäßig darf nur update.mozilla.org Add-ons installieren. Der Fehler im Browser selbst wird damit allerdings nicht beseitigt.
Siehe dazu auch: (dab)
- Firefox Remote Compromise Technical Details von Greyhat-Security
