Lücke durch parallele Installation von Firefox 2 und Internet Explorer
Über ein trickreiches Zusammenspiel von Internet Explorer und Firefox 2 kann ein Angreifer über eine manipulierte Webseite beliebige Befehle auf einem PC ausführen.
- Daniel Bachfeld
Über ein trickreiches Zusammenspiel von Internet Explorer und Firefox 2 kann ein Angreifer über eine manipulierte Webseite beliebige Befehle auf einem PC ausführen. Ursache des Problems ist die Verarbeitung der Firefox-spezifischen URI firefoxurl://, mit der es möglich ist, eine neue Firefox-Instanz mit einer beliebigen Adresse zu starten. Die URI ist unter anderem in der Form firefox.exe -url "%1" registriert, wobei der Parameter die zu öffnende Seite darstellt. Durch Einfügen eines Anführungszeichens in den Parameter ist es aber laut Thor Larholm möglich, weitere Parameter zu übergeben und Firefox damit zu starten. Unter anderem lässt sich so über die Option -chrome JavaScript im Kontext von Chrome ausführen, also mit vollem Zugriff auf lokale Ressourcen.
Allerdings lässt sich eine derartige URL nicht aus dem Firefox heraus aufrufen, offenbar gibt es einen Schutz vor solchen Zugriffen auf die Kommandozeile. Hier kommt der Internet Explorer ins Spiel: Ihm ist es egal, was hinter dem Link steckt, wichtig ist für ihn nur zu wissen, welches Programm der URI firefoxurl zugeordnet ist. Somit ruft er den Firefox mit den präparierten Parametern auf. Darüber ist es dann möglich, beliebige Plug-ins in den Firefox zu laden, beliebige Befehle auszuführen und weitere Programme zu starten. Eine Seite mit Demos zeigt unter anderem, wie man darüber etwa die Eingabeaufforderung ohne Nachfrage startet. Die anderen dort aufgeführten Demos funktionierten bei einem Test der heise-Security-Redaktion jedoch nicht oder brachten im Firefox eine Warnmeldung, dass eine externe Anwendung gestartet werden würde. Auch Thor Larholm, der Entdecker des Problems, hat eine Demo veröffentlicht, die allerdings wohl nur mit zusätzlichen Modifikationen funktioniert. Larholm will aber eine korrigierte Fassung demnächst bereitstellen.
Wer nun für das Problem verantwortlich ist, ist noch nicht endgültig geklärt. Einige Sicherheitsdienstleister geben dem Firefox 2 dafür die Schuld, da er die spezielle URI registriert. Andere wiederum sehen den Internet Explorer als Verursacher, da er die URI respektive URL ohne weitere Prüfung aufruft. Für Windows-Anwender, die beide Browser installiert haben und trotzdem vorwiegend mit dem Internet Explorer unterwegs sind, hilft derzeit nur, die URI zu deregistrieren. Dazu genügt es, in der Eingabeaufforderung folgende Befehle einzugeben:
reg delete HKCR\FirefoxHTML /f
reg delete HKCR\FirefoxURL /f
Siehe dazu auch:
- Internet Explorer 0day Exploit, Fehlerbericht von Thor Larholm
- Cross Browser Scripting Demo, Demos von Billy (BK) Rios et al
- Blocking the Firefox - IE 0-day, Blog von Jesper Johansson
(dab)
