Burgerdri
13.07.07, 07:04
AngreiferInnen können über präparierte Webseiten auf Rechnern Code einschleusen und ausführen
Sicherheitsexperten warnen vor einer Sicherheitslücke, die auftritt wenn AnwenderInnen Microsofts Internet Explorer und den Mozilla Firefox 2 auf ihren Rechnern parallel installiert haben.
Problem mit der firefoxurl
Das Problem wird durch eine fehlerhafte Verarbeitung der Firefox-spezifischen URI firefoxurl:// möglich. Diese ermöglicht es, mit, eine neue Firefox-Instanz mit einer beliebigen Adresse zu starten. Normalerweise ergeben sich bei der alleinigen Verwendung des Firefox damit keinerlei Probleme - aber sobald sich ein installierter Internet Explorer findet, wird die Sicherheitsproblematik akut.
Plug-Ins laden
Es soll zudem möglich sein, beliebige Plug-ins in den Firefox zu laden, beliebige Befehle auszuführen und weitere Programme zu starten. Auch Thor Larholm, der Entdecker des Problems, hat eine Demo veröffentlicht, die allerdings wohl nur mit zusätzlichen Modifikationen funktioniert. Larholm will aber eine korrigierte Fassung demnächst bereitstellen. Noch ist nicht klar, wer für das Problem verantwortlich zeichnet. Als einziger Workaround bleibt derzeit nur, die URI zu deregistrieren.(red)
Quelle:
http://derstandard.at/?url=/?ressort=brauser
Sicherheitsexperten warnen vor einer Sicherheitslücke, die auftritt wenn AnwenderInnen Microsofts Internet Explorer und den Mozilla Firefox 2 auf ihren Rechnern parallel installiert haben.
Problem mit der firefoxurl
Das Problem wird durch eine fehlerhafte Verarbeitung der Firefox-spezifischen URI firefoxurl:// möglich. Diese ermöglicht es, mit, eine neue Firefox-Instanz mit einer beliebigen Adresse zu starten. Normalerweise ergeben sich bei der alleinigen Verwendung des Firefox damit keinerlei Probleme - aber sobald sich ein installierter Internet Explorer findet, wird die Sicherheitsproblematik akut.
Plug-Ins laden
Es soll zudem möglich sein, beliebige Plug-ins in den Firefox zu laden, beliebige Befehle auszuführen und weitere Programme zu starten. Auch Thor Larholm, der Entdecker des Problems, hat eine Demo veröffentlicht, die allerdings wohl nur mit zusätzlichen Modifikationen funktioniert. Larholm will aber eine korrigierte Fassung demnächst bereitstellen. Noch ist nicht klar, wer für das Problem verantwortlich zeichnet. Als einziger Workaround bleibt derzeit nur, die URI zu deregistrieren.(red)
Quelle:
http://derstandard.at/?url=/?ressort=brauser