Security: URI-Lücke in Firefox weiterhin offen

heise.de berichtet:

Billy Rios and Nate McFeters, die Entdecker der URI-Lücke im Open-Source-Browser Firefox, haben in ihrem Blog darauf hingewiesen, dass das eigentliche Problem mit der Veröffentlichung von Firefox 2.0.0.6 Ende Juli nicht beseitigt wurde. So wollen sie einen neuen Weg gefunden haben, um über File-Handler und präparierte Pfade trotzdem weitere Anwendungen zu starten.

Allerdings haben die Firefox-Entwickler bereits mit der Veröffentlichung der aktuellen Browserversion deutlich gemacht, dass das Update nur ein Workaround darstellt, um Zeit zu gewinnen und zumindest vor den bekannten Exploits mit %00- oder %-Zeichen zu schützen. Rios und McFeters haben außer einem Screenshot deshalb auch keine genauen Angaben über das neue Problem veröffentlicht, damit die Entwickler in Ruhe an der Behebung des Fehlers arbeiten können. Wann eine überarbeitete Firefox-Version erscheinen wird, ist nicht bekannt.

Die URI-Lücke tritt bei der Behandlung spezieller URLs auf, die bei installiertem Internet Explorer 7 unter Windows XP dazu führen, dass Angreifer beliebige installierte Programme aufrufen können. Dadurch lassen sich mittels manipulierter Links in Webseiten oder E-Mails auch schädliche Aktionen ausführen. Bislang ist allerdings nicht gänzlich geklärt, was die eigentliche Ursache des Problems ist. Unter anderem ist die verwirrende Behandlung von URLs unter Windows Teil des Problems. Auch Skype, Miranda und wahrscheinlich weitere Anwendungen weisen die URI-Lücke auf.

[via]

Advertisements

Kommentar verfassen

Trage deine Daten unten ein oder klicke ein Icon um dich einzuloggen:

WordPress.com-Logo

Du kommentierst mit Deinem WordPress.com-Konto. Abmelden / Ändern )

Twitter-Bild

Du kommentierst mit Deinem Twitter-Konto. Abmelden / Ändern )

Facebook-Foto

Du kommentierst mit Deinem Facebook-Konto. Abmelden / Ändern )

Google+ Foto

Du kommentierst mit Deinem Google+-Konto. Abmelden / Ändern )

Verbinde mit %s