Software::Kommunikation
Mozilla und Firefox in neuen Versionen
Die Mozilla-Foundation hat neue Versionen von Mozilla und Firefox vorgelegt, die vier potentielle Sicherheitlücken beheben.
Mit dem heute erschienenen Mozilla Firefox 0.9.3 und Mozilla 1.7.2 schafften die Entwickler die Fehler aus der Welt.
Der erste Fehler hat seinen Ursprung in Mozillas SSL-Zertifikatverwaltung. Erstellt ein Anwender ein Zertifikat, das denselben Domain-Namen wie der eines CA-Zertifikates trägt, so überschreibt das importierte Zertifikat das schon vorhandene. Wenn der Proband anschließend versucht, Zugriff auf eine SSL-Seite zu erhalten, die vom betroffenen CA signiert ist, wird ihm dieser mit einer Fehlermeldung verwehrt. Zum Import des schädigenden Zertifikats ist jedoch nicht einmal die Mitarbeit des Nutzers gefragt: Es ist im Falle der Mozilla-Suite möglich, E-Mails zu versenden, in denen sich ein iframe zum Ort des Zertifikats versteckt, da Mozilla den reibungslosen Import von SSL-Zertifikaten unterstützt.
Ein weiterer Fehler ermöglicht einem Angreifer, Mozilla einen falschen Dateityp vorzutäuschen, indem er ein NUL-Zeichen im Dateinamen verwendet. Zur Erkennung des Dateitypen verwendet der Browser hierfür den kompletten Dateinamen, während jedoch nur der Teil vor NUL geöffnet wird. Der Bug ist verifiziert für die Implementationen von file:// und ftp://. Beispielsweise öffnet Mozilla vor der Version 1.7.2 die Datei Beispiel.Datei%00.html als HTML-Seite, statt wie erwartet einen Dialog zum Herunterladen anzubieten. Dies kann sich ein Angreifer zu Nutze machen, um beispielsweise JavaScript-Code auszuführen, den er vorher in die Datei eingeschleust hat. Dies könnte er über den Browsercache tun. Da der ungefähre Ort dieses Caches für verschiedene Betriebssysteme hinreichend bekannt ist, kann man den Cache über die NUL-Methode anzeigen und damit ausführen lassen.
Böswillige Naturen können Inhalte sogar fälschlicherweise als sicher präsentieren. Im Sicherheitsdialog taucht ein SSL-Zertifikat über eine gesicherte Verbindung auf, die nicht existiert. Dieses Verhalten will der Finder des Fehlers mit dieser Seite demonstrieren. Neben der Behebung dieses Fehlers umgingen die Mozilla-Entwickler auch noch einen möglichen Buffer-Overflow in der PNG-Bibliothek, der sich auf den Browser auswirkt.
Mozilla 1.7.2 und Firefox 0.9.3 sind auf den Servern der Mozilla-Foundation zu finden.
