Details zu Firefox-Lücken

Für drei der mit dem aktuellen Update in der (kommenden) Websuite Mozilla 1.7.9 und dem Standalone-Webbrowser Firefox 1.0.5 behobenen Schwachstellen wurden bereits Demo-Exploits veröffentlicht. Zumindest zwei erschleichen sich die Privilegien des Chromes, also dem User-Interface des Browsers. Mit diesen Rechten ausgestattet, können sie unter anderem Dateien schreiben und ausführen. Allerdings funktionieren die bisher veröffentlichten Exploits nicht ohne Mitwirkung des Anwenders.

Die Firewalling-Demo stammt einmal mehr von Michael Krax und ähnelt dessen vorherigen Exploits in der Vorgehensweise: Sie schleust eine javascript:-URL in den Dialog "Set As Wallpaper" ein. Dieser Code kann dann erweiterte Privilegien anfordern.

Auch der Hacker mit dem Pseudonym moz_bug_r_a4 nutzt diesen Dialog. Allerdings ist in seinem Exploit der eigentliche Trick, in einem XHTML-Dokument ein speziell geformtes <IMG>-Element einzubauen, um damit die Sicherheitschecks zu umgehen und ebenfalls Chrome-Privilegien anzufordern.

Kohei Yoshino nutzt die Tatsache aus, dass man auch über data:-URLs JavaScript-Code in einen Link schreiben kann, dies aber im Gegensatz zu den javascript: an manchen Stellen nicht kontrolliert wird. So kann er in seiner Demo über die Sidebar Script-Code in andere, geöffnete Seiten einschleusen und damit zum Beispiel Cookies stehlen. Dies ist ein klassischer Cross-Site-Scripting-Angriff.

Mit den konzeptionellen Problemen in Mozilla & Co, die solche Lücken ermöglichen, befasst sich der Artikel "Löchrige Rüstung; Mozillas Sicheheitskonzept zeigt Lücken" in c't 14/05, S. 202. heise Security veröffentlicht eine englische Übersetzung des Artikels: Chrome-plated holes

Siehe dazu auch: