Firefox gibt Informationen preis
Eine Schwachstelle in Firefox ermöglicht Angreifern das Ausspähen von möglicherweise vertraulichen Informationen.
Aufgrund einer sogenannten Directory-Traversal-Schwachstelle in Firefox können manipulierte Webseiten möglicherweise vertrauliche Informationen auf dem Rechner auslesen. Die Mozilla-Entwickler untersuchen das Sicherheitsleck zurzeit.
In dem Blog hiredhacker.com ist eine Demonstration der Schwachstelle aufgetaucht. Sie soll vorführen, wie eine Webseite auf die gespeicherten Einstellungen des Mailprogramms Thunderbird zugreifen kann. Dazu muss in Firefox jedoch eine Erweiterung installiert sein, die nicht als .jar-Archiv verpackt ist. Den Mozilla-Entwicklern zufolge liegen Browser-Erweiterungen allerdings häufiger in so einer Form vor. Eine Webseite kann beispielsweise mit den Befehlen zum Einbinden von Bildern, Skripten oder Stylesheets dann auf chrome://-URLs zugreifen. In diesen URLs wandelt Firefox kodierte Zeichen wie %2e%2e%2f nicht in ../ um und filtert sie auch nicht aus, sodass darüber beliebige Dateien ausgelesen werden können.
Angreifer können so jedoch auch überprüfen, ob bestimmte Programme und Erweiterungen installiert sind. Damit können Schädlingsbastler, die Anwendern mit präparierten Webseiten Schadcode unterjubeln wollen, möglicherweise mit einer solchen Webseite noch mehr Schwachstellen auf einem Rechner finden und missbrauchen.
Als Beispiele für Erweiterungen, die das Ausnutzen der Schwachstelle ermöglichen, nennen die Mozilla-Entwickler Download Statusbar und Greasemonkey. Der Entwickler von Download Statusbar hat inwischen ein aktualisiertes Paket bereitgestellt, das als .jar verpackt ist. Nutzer des Add-ons sollten die installierte Version rasch aktualisieren.
Den Fehler haben die Mozilla-Entwickler ursprünglich als niedriges Risiko eingestuft. Dem Eintrag im Fehlerverfolgungssystem Bugzilla zufolge soll der Fehler in der Render-Engine Version 1.8.1.12 beseitigt werden; Firefox 2.0.11 nutzt Version 1.8.1.11. Wann die fehlerbereinigte Version erscheinen soll, ist bislang jedoch noch unklar.
Siehe dazu auch:
- chrome protocol directory traversal, Eintrag im Mozilla-Sicherheits-Blog
- chrome directory traversal (local disk access via "flat" addons), Eintrag im Mozilla-Bugtracker
- Firefox chrome: URL Handling Directory Traversal., Eintrag im Blog hiredhacker
(dmk)
