Die heute veröffentlichte Version 1.0.1 des Mozilla-Ablegers Firefox stopft mehrere Sicherheitslöcher des Open-Source-Browsers, berichtet Heise online. Bereits Anfang Februar wies Michael Krax auf drei Schwachstellen in Mozilla und Firefox hin. Zur Veröffentlichung von Firefox 1.0.1 demonstriert er deren Bedeutung nochmals eindrucksvoll mit einer Demo names Firescrolling: Scrollt ein Anwender eine Web-Seite mit der Maus zwei Mal nach unten, wird im Hintergrund eine Datei auf seinem System angelegt. Der einzige Hinweis auf die heimlichen Aktivitäten im Hintergrund ist ein veränderter Mauszeiger, wenn dieser in den Scrollbalken fährt. Die Demo könnte genauso gut Dateien löschen oder ein bösartiges Programm im Autostart-Ordner platzieren, sodass es beim nächsten Anmelden automatisch gestartet wird.
Der zentrale Fehler ist die Tatsache, dass Firefox und auch Mozilla nicht ausreichend überprüfen, welche URLs ein Plugin aufruft. So ist es möglich, über eine Flash-Datei eine chrome-URL zu laden. Diese Pseudo-URL steht für die grafische Benutzeroberfläche (GUI) des Browsers und kann Script-Code mit vollem Zugriff auf lokale Ressourcen ausführen. Insbesondere lassen sich dort Objekte zum Zugriff aufs Dateisystem erstellen und via Skript fernsteuern.
Der Browsercheck des Magazins c't demonstriert das Problem für Firefox 1.0 unter Windows, aber auch andere Betriebssystemversionen sind betroffen. Anwender sollten die aktuelle Version 1.0.1 installieren. Sie überwacht Plugins besser, sodass dieser Angriff nicht mehr möglich ist. Das deutsche Update ist derzeit noch nicht überall verlinkt - es steht auf dem Mozilla-FTP-Server zum Download bereit.
Mit freundlicher Genehmigung von Computerwelt.at
|