Firefox 2.0.0.7 schließt QuickTime-Lücke

Die vor kurzem bekannt gewordene Lücke, durch die manipulierte QuickTime-Link-Dateien mit höchsten Rechten Code im Browser ausführen können, schließen die Entwickler mit der Version 2.0.0.7 von Firefox.

In Pocket speichern vorlesen Druckansicht 68 Kommentare lesen
Lesezeit: 2 Min.
Von

Die kürzlich von Petko Petkov (pdp) gemeldete Sicherheitslücke im QuickTime-Plugin für Firefox schließen die Browser-Entwickler mit der Firefox-Version 2.0.0.7. Andere Korrekturen enthält die neue Version nicht. Angreifer können in den Vorgängerversionen mit präparierten QuickTime-Link-Dateien (.qtl) schädlichen Programmcode auf Rechnern von Firefox-Nutzern mit den höchsten Rechten im Browser ausführen und so möglicherweise die vollständige Kontrolle über das System übernehmen.

Ursprünglich sollte die Schwachstelle bereits in Firefox 2.0.0.5 geschlossen sein. Die Sicherheitsmeldung MFSA 2007-23 beschreibt einen Fehler, durch den der Internet Explorer beim Aufruf von Programmen Anführungszeichen nicht korrekt ausfiltert und so Programme mit Parametern aufgerufen werden können. Firefox und Thunderbird ließen sich so auch mit dem Parameter -chrome starten, wodurch etwa JavaScript mit den höchsten Rechten im Browser läuft und zur Kompromittierung des Systems führen kann.

In dem Fehlerbericht MSFA 2007-28 erläutern die Mozilla-Entwickler, dass QuickTime diese Aufrufe jedoch in einer außergewöhnlichen Art und Weise durchführe und dadurch erneut eine Lücke in Firefox und SeaMonkey klaffe. Der Fehler sei Apple bekannt und sollte bereits mit Version 7.1.5 von QuickTime behoben sein, offensichtlich ist dies aber nicht der Fall.

Die Version 2.0.0.7 von Firefox dichtet diese Schwachstelle nun ab. Auf den Seiten des Seamonkey-Projekts, das die Schwachstelle laut der Fehlermeldung der Mozilla-Entwickler ebenfalls enthält, ist bislang jedoch noch keine neue Version aufgetaucht. Firefox-Nutzer können das Update über die integrierte Update-Funktion herunterladen und installieren. Die neue Version steht aber auch als vollständiges Installationspaket auf den Servern des Mozilla-Projekts zum Download bereit. Firefox-Nutzer sollten das Update umgehend einspielen, sofern sie entweder QuickTime oder QuickTime-Alternative installiert haben.

Siehe dazu auch:

(dmk)