Schwachstelle in Wikipedia Toolbar für Firefox
Durch eine kritische Lücke kann ein Angreifer ein System kompromittieren. Um Opfer eines Angriffs zu werden, muss man allerdings auf einer präparierten Webseite bestimmte Knöpfe auf der Toolbar drücken.
- Daniel Bachfeld
Der Sicherheitsdienstleister Secunia hat auf eine kritische Lücke im Firefox-Add-on "Wikipedia Toolbar " hingewiesen, durch die ein Angreifer ein System kompromittieren kann. Ursache des Problems ist laut Bericht der Aufruf der JavaScript-Funktion eval() mit ungeprüften Nutzerparametern. Damit soll sich JavaScript mit den höchsten Rechten ausführen lassen, womit der Zugriff auf Systemressourcen möglich ist. Um Opfer eines Angriffs zu werden, muss man allerdings auf einer präparierten Webseite bestimmte Knöpfe auf der Toolbar drücken.
Betroffen sind die Version 0.5.9 und möglicherweise vorhergehende Versionen. In Version 0.5.9.2 ist der Fehler behoben. Allerdings ist diese Version des Add-ons bislang noch als "experimental" gekennzeichnet.
Siehe dazu auch:
- Wikipedia Toolbar Cross-Context Scripting Vulnerability, Bericht von Secunia
(dab)