Login
Login-Name Passwort


 
Newsletter
Werbung

Do, 12. Mai 2005, 11:56

Software::Security

Firefox 1.0.4 schließt Sicherheitslücken

Die Mozilla Foundation hat Firefox 1.0.4 zur Schließung dreier kritischer Sicherheitslöcher herausgegeben, die allesamt mit der Ausnutzung von JavaScript in Verbindung stehen.

Firefox mit Suchleiste und Pro-Linux-RSS

Firefox mit Suchleiste und Pro-Linux-RSS

Beispielsweise führte der Browser JavaScript-Programme ohne notwendige Einschränkungen aus, wenn ein Angreifer sie als javascript:-Adresse über die Quellcode-Anzeige aufrief. Selbiges Problem entsteht, sobald der Icon-Eintrag einer Firefox-Extension auf eine javascript:-Adresse zeigt. Ferner ist es möglich, beliebigen JavaScript-Code in fremde Seiten einzuschleusen, indem der Angreifer sie in einem Frame öffnet und anschließend zurück zu einer javascript:-URL springt.

In allen drei Fällen besteht die Möglichkeit, JavaScript-Programme mit erhöhten Privilegien auszuführen. Während normaler Code in Webseiten wenige Zugriffsberechtigungen auf lokale Ressourcen hat, ermöglichten die nun geschlossenen Lücken die Ausführung beliebigen Codes mit den geringen Einschränkungen des Mozilla-Chrome. Eine Sicherheitslücke nach gleichem Muster berichtigte bereits die Version 1.0.3, hier war die Ausführung über Favicons möglich.

Die neue Version ist wie üblich von der Produktseite erhältlich.

Werbung
Pro-Linux
Pro-Linux @Facebook
Neue Nachrichten
Werbung