Neue Erkenntnisse zur "Firefox-LĂĽcke"
Die meisten Sicherheitsdienstleister haben Firefox als Verursacher der URI-Protokoll-Handler-LĂĽcke ausgemacht. Secunia kommt nach eigenen Analysen zu ganz anderen SchlĂĽssen.
- Daniel Bachfeld
Bei der Einschätzung, wer der eigentliche Verursacher aus der im Zusammenspiel von Firefox und Internet Explorer 7 resultierenden Lücke ist, gehen die Meinungen auseinander. Das US-CERT macht Firefox als den Schuldigen aus, da er übernommene Links nicht filtere, bevor er sie an den dafür registrierten URI-Protokoll-Handler weitergibt. Als Workaround schlägt das US-CERT vor, einen Warndialog im Firefox zu aktivieren, der den Anwender beim Aufruf etwa einer mailto-URI benachrichtigt und die Möglichkeit zum Abbruch gibt. Um die Konfigurationsseite aufzurufen, gibt man in der Adresszeile des Firefox about:config ein. Anschließend sind die Optionen:
network.protocol-handler.warn-external-default
network.protocol-handler.warn-external.mailto
network.protocol-handler.warn-external.news
network.protocol-handler.warn-external.nntp
network.protocol-handler.warn-external.snews
auf true zu setzen.
Auch das französische FrSIRT meldet auf seinen Seiten einen Fehler in Firefox beziehungsweise Mozilla und Netscape. Der Dienstleister macht ebenfalls die fehlende Filterung im Browser der Mozilla-Foundation bei der Übergabe der URIs für das Problem verantwortlich.
Einzig Secunia ist nach selbst angestellten Analysen der Meinung, dass der Fehler in Windows zu finden sei. Zudem hat Secunia herausgefunden, dass eine präparierte URI nicht die Zeichenfolge %00 enthalten muss, es genügt, wenn nur ein Prozentzeichen dort zu finden ist. So startet auf Windows XP mit Internet Explorer 7 ein Klick in Firefox auf
['mailto:test%../../../../windows/system32/calc.exe mailto:test%../.. /../../windows/system32/calc.exe".cmd]
den Taschenrechner. Demzufolge wäre der von den Firefox-Entwicklern erstellte Patch wirkungslos, da er nach %00 in URIs sucht, um sie zu blockieren.
Siehe dazu auch:
- Mozilla Firefox URI filtering vulnerability, Fehlerbericht vom US-CERT
- Mozilla Firefox Multiple URI Handlers Remote Command Execution Vulnerability, Fehlerbericht vom FrSIRT
- Microsoft Windows URI Handling Command Execution Vulnerability, Fehlerbericht von Secunia
- Firefox und Internet Explorer 7 vertragen sich immer noch nicht, Meldung auf heise Security
(dab)
