Firefox 2.0.0.7 schließt QuickTime-Lücke
Die vor kurzem bekannt gewordene Lücke, durch die manipulierte QuickTime-Link-Dateien mit höchsten Rechten Code im Browser ausführen können, schließen die Entwickler mit der Version 2.0.0.7 von Firefox.
Die kürzlich von Petko Petkov (pdp) gemeldete Sicherheitslücke im QuickTime-Plugin für Firefox [1] schließen die Browser-Entwickler mit der Firefox [2]-Version 2.0.0.7. Andere Korrekturen enthält die neue Version nicht. Angreifer können in den Vorgängerversionen mit präparierten QuickTime-Link-Dateien (.qtl) schädlichen Programmcode auf Rechnern von Firefox-Nutzern mit den höchsten Rechten im Browser ausführen und so möglicherweise die vollständige Kontrolle über das System übernehmen.
Ursprünglich sollte die Schwachstelle bereits in Firefox 2.0.0.5 [3] geschlossen sein. Die Sicherheitsmeldung MFSA 2007-23 [4] beschreibt einen Fehler, durch den der Internet Explorer beim Aufruf von Programmen Anführungszeichen nicht korrekt ausfiltert und so Programme mit Parametern aufgerufen werden können. Firefox und Thunderbird [5] ließen sich so auch mit dem Parameter -chrome starten, wodurch etwa JavaScript mit den höchsten Rechten im Browser läuft und zur Kompromittierung des Systems führen kann.
In dem Fehlerbericht MSFA 2007-28 [6] erläutern die Mozilla-Entwickler, dass QuickTime diese Aufrufe jedoch in einer außergewöhnlichen Art und Weise durchführe und dadurch erneut eine Lücke in Firefox und SeaMonkey klaffe. Der Fehler sei Apple bekannt [7] und sollte bereits mit Version 7.1.5 [8] von QuickTime behoben sein, offensichtlich ist dies aber nicht der Fall.
Die Version 2.0.0.7 von Firefox dichtet diese Schwachstelle nun ab. Auf den Seiten des Seamonkey-Projekts [9], das die Schwachstelle laut der Fehlermeldung der Mozilla-Entwickler ebenfalls enthält, ist bislang jedoch noch keine neue Version aufgetaucht. Firefox-Nutzer können das Update über die integrierte Update-Funktion herunterladen und installieren. Die neue Version steht aber auch als vollständiges Installationspaket auf den Servern des Mozilla-Projekts zum Download [10] bereit. Firefox-Nutzer sollten das Update umgehend einspielen, sofern sie entweder QuickTime oder QuickTime-Alternative installiert haben.
Siehe dazu auch:
- Versionshinweise [11], Zusammenfassung der Änderungen in Firefox 2.0.0.7
- Code execution via QuickTime Media-link files [12], Sicherheitsmeldung der Mozilla-Entwickler
- Remote code execution by launching Firefox from Internet Explorer [13], Fehlermeldung der Mozilla-Entwickler
- Download [14] von Firefox 2.0.0.7
- QuickTime reißt Sicherheitsleck in Firefox auf [15], Meldung von heise Security
(dmk [16])
URL dieses Artikels:
https://www.heise.de/-176540
Links in diesem Artikel:
[1] https://www.heise.de/news/QuickTime-reisst-Sicherheitsleck-in-Firefox-auf-174586.html
[2] http://www.heise.de/software/download/firefox/19416
[3] https://www.heise.de/news/Firefox-2-0-0-5-beseitigt-Sicherheitsluecken-2-Update-152226.html
[4] http://www.mozilla.org/security/announce/2007/mfsa2007-23.html
[5] https://www.heise.de/news/Luecke-durch-parallele-Installation-von-Firefox-2-und-Internet-Explorer-149941.html
[6] http://www.mozilla.org/security/announce/2007/mfsa2007-28.html
[7] http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2006-4965
[8] https://www.heise.de/news/Apple-schliesst-acht-kritische-Luecken-in-QuickTime-152933.html
[9] http://www.mozilla.org/projects/seamonkey/
[10] http://www.mozilla.com/en-US/firefox/all.html#de
[11] http://www.mozilla-europe.org/de/products/firefox/2.0.0.7/releasenotes/
[12] http://www.mozilla.org/security/announce/2007/mfsa2007-28.html
[13] http://www.mozilla.org/security/announce/2007/mfsa2007-23.html
[14] http://www.mozilla.com/en-US/firefox/all.html#de
[15] https://www.heise.de/news/QuickTime-reisst-Sicherheitsleck-in-Firefox-auf-174586.html
[16] mailto:dmk@heise.de
Copyright © 2007 Heise Medien