Details zu korrigierten Sicherheitslecks in Firefox 1.0.1

Die heute veröffentlichte Version 1.0.1 des Mozilla-Ablegers Firefox stopft mehrere Sicherheitslöcher, die das Installieren beliebiger Programme ermöglichen.

In Pocket speichern vorlesen Druckansicht 381 Kommentare lesen
Lesezeit: 2 Min.

Die heute veröffentlichte Version 1.0.1 des Mozilla-Ablegers Firefox stopft mehrere Sicherheitslöcher des Open-Source-Browsers.

Bereits Anfang Februar wies Michael Krax auf drei Schwachstellen in Mozilla und Firefox hin. Zur Veröffentlichung von Firefox 1.0.1 demonstriert er deren Bedeutung nochmals eindrucksvoll mit einer Demo names Firescrolling: Scrollt ein Anwender eine Web-Seite mit der Maus zwei Mal nach unten, wird im Hintergrund eine Datei auf seinem System angelegt. Der einzige Hinweis auf die heimlichen Aktivitäten im Hintergrund ist ein veränderter Mauszeiger, wenn dieser in den Scrollbalken fährt. Die Demo könnte genauso gut Dateien löschen oder ein bösartiges Programm im Autostart-Ordner platzieren, sodass es beim nächsten Anmelden automatisch gestartet wird.

Der zentrale Fehler ist die Tatsache, dass Firefox und auch Mozilla nicht ausreichend überprüfen, welche URLs ein Plugin aufruft. So ist es möglich, über eine Flash-Datei eine chrome-URL zu laden. Diese Pseudo-URL steht für das GUI des Browsers und kann Script-Code mit vollem Zugriff auf lokale Ressourcen ausführen. Insbesondere lassen sich dort Objekte zum Zugriff aufs Dateisystem erstellen und via Skript fernsteuern.

Das für einen beträchtlichen Teil der Sicherheitslöcher des Internet Explorer verantwortliche Dreigestirn ActiveX, JScript und lokale Zone findet damit seine Entsprechung in Cross Platform Component Object Model (XPCOM), JavaScript und chrome-URLs; http-equivs "What a drag", bei der mit dem Internet Explorer durch Drag&Drop auf einer Web-Seite ein Programm im Autostart-Ordner landet, erfährt seine Fortsetzung in "Firescrolling" bei Firefox.

Der c't-Browsercheck demonstriert das Problem für Firefox 1.0 unter Windows, aber auch andere Betriebssystemversionen sind betroffen. Anwender sollten die aktuelle Version 1.0.1 installieren. Sie überwacht Plugins besser, sodass dieser Angriff nicht mehr möglich ist. Das deutsche Update ist derzeit noch nicht überall verlinkt; es steht auf dem Mozilla-FTP-Server zum Download bereit.

Siehe dazu auch: (ju)