Mozilla Foundation will Lücke in Firefox schnell schließen
In den kommenden Tagen soll eine neue Version des Web-Browsers veröffentlicht werden.
Nach Angaben von Dan Veditz, Leiter der Mozilla Security Group, will die Mozilla Foundation noch Anfang dieser Woche eine neue Version von Firefox veröffentlichen. Diese soll zwei Schwachstellen beseitigen, die in Kombination die am gestrigen Sonntag bekannt gewordene kritische Lücke ergeben. Ob in 1.0.4 auch weitere bislang nicht öffentlich bekannte Lücken gestopft sein werden, ist noch nicht klar. Jedenfalls dürfte das Beseitigen der Fehler den Zeitplan der Entwickler zur Herausgabe der Alpha-Version von 1.1 gehörig durcheinander bringen.
Bis zum Erscheinen von 1.0.4 haben sich die Entwickler zunächst damit beholfen, den vom neuen Exploit benutzten Server addons/update.mozilla.org zu modifizieren. Laut Veditz führt der Aufruf nun auf einen Server, der standardmäßig nicht in der Whitelist eingetragen ist. Der Exploit funktioniert dann nicht mehr.
Die von Paul geschriebene Demo beruht im wesentlichen auf Fehlern in der Verarbeitung von JavaScript und hat zum Ziel, Code in einer so genannten Chrome-Page auszuführen -- ähnlich der lokalen Zone im Internet Explorer. Dort laufen Skripte mit den vollen Rechten von Firefox und haben Zugriff auf alle Ressourcen -- sofern der Anwender als Administrator surft. Der Trick besteht darin, die Firefox-Funktion zum Installieren von Erweiterungen so zu missbrauchen, dass sie eine bestimmte Funktion (installTrigger.install) mit einem präparierten Parameter (IconURL) aufruft. Durch eine Lücke lassen sich Skripte so mit höheren Rechten ausführen. Der Exploit nutzt zudem eine weitere Schwachstelle in der History List, um JavaScripte in einem IFRAME in einem beliebigen Kontext auszuführen.
Dazu ruft der Exploit einmal ein Skript in einem IFRAME auf und navigiert anschließend zu update.mozilla.org, um das Skript ein zweites Mal zu starten und die Installationsfunktion auszuführen. Diesmal allerdings -- durch den Fehler in der History -- mit den Rechten von update.mozilla.org. Der nun angezeigte Installationsdialog kann zusätzlich ein Bild/Icon darstellen, wozu die Angabe einer URL (IconURL) erfoderlich ist. Stattdessen wird als Parameter ein weiteres JavaScript übergeben, das nach dem Laden in Firefox schließlich im Kontext Chrome läuft.
Siehe dazu auch: (dab)
- Code execution via javascript: IconURL Fehlerbericht der Mozilla Foundation
- Kritisches Sicherheitsloch im Firefox-Browser Meldung von heise Security
