heise.de berichtet von einer gravierenden Sicherheitslücke im Firefox Browser:
| Quote |
| …Der nun aufgetauchte Proof-of-Concept-Exploit schreibt eine Batch-Datei auf das Laufwerk C: und startet sie anschließend. Dazu muss der Anwender nur irgendwo innerhalb des Firefox-Browser-Fensters klicken. Die Demo öffnet nur die Eingabeaufforderung, echter Schadcode hätte so etwa eine Backdoor oder einen Trojaner installieren können. Ein Patch ist derzeit nicht verfügbar, Abhilfe schafft das Abschalten von JavaScript. |
|
Ein Fehler bei der Bearbeitung von Firefox Extensions ermöglicht es durch bestimmte Javascripte, Website Code im Chrome Kontext auszuführen. Hierdurch wird es ermöglicht, lokalen Ressourcen Herr zu werden. Im Klartext heisst das, dass Anwendungen ausgeführt werden können, beispielsweise Trojaner.
Die Entwickler empfehlen den Benutzern daher, die Option „Websites das Installieren von Software erlauben“ unter Extras->Einstellungen->Web-Features zu deaktivieren.
*UPDATE*
| Quote |
| Offenbar hat die Mozilla Foundation mittlerweile ihren Add-on-Server modifiziert, sodass der Exploit nicht mehr funktioniert. Dieser missbraucht nämlich unter anderem die Installationsfunktionen für Erweiterungen, um Schadcode in den Rechner zu schleusen. Standardmäßig darf nur update.mozilla.org Add-ons installieren. Der Fehler im Browser selbst wird damit allerdings nicht beseitigt. |
|
*UPDATE2*
| Quote |
| Nach Angaben von Dan Veditz, Leiter der Mozilla Security Group, will die Mozilla Foundation noch Anfang dieser Woche eine neue Version von Firefox veröffentlichen. Diese soll zwei Schwachstellen beseitigen, die in Kombination die am gestrigen Sonntag bekannt gewordene kritische Lücke ergeben. Ob in 1.0.4 auch weitere bislang nicht öffentlich bekannte Lücken gestopft sein werden, ist noch nicht klar. Jedenfalls dürfte das Beseitigen der Fehler den Zeitplan der Entwickler zur Herausgabe der Alpha-Version von 1.1 gehörig durcheinander bringen… |
|
heise.de Meldung
heise.de NEUE Meldung
