Software::Security
Firefox 1.0.4 schließt Sicherheitslücken
Die Mozilla Foundation hat
Firefox 1.0.4 zur Schließung dreier kritischer Sicherheitslöcher herausgegeben, die allesamt mit der Ausnutzung von JavaScript in Verbindung stehen.
Firefox mit Suchleiste und Pro-Linux-RSS
Beispielsweise führte der Browser JavaScript-Programme ohne notwendige Einschränkungen aus, wenn ein Angreifer sie als
javascript:-Adresse über die Quellcode-Anzeige
aufrief. Selbiges Problem entsteht, sobald der Icon-Eintrag einer Firefox-Extension auf eine
javascript:-Adresse zeigt. Ferner ist es möglich, beliebigen JavaScript-Code in fremde Seiten einzuschleusen, indem der Angreifer sie in einem Frame öffnet und anschließend zurück zu einer
javascript:-URL springt.
In allen drei Fällen besteht die Möglichkeit, JavaScript-Programme mit erhöhten Privilegien auszuführen. Während normaler Code in Webseiten wenige Zugriffsberechtigungen auf lokale Ressourcen hat, ermöglichten die nun geschlossenen Lücken die Ausführung beliebigen Codes mit den geringen Einschränkungen des Mozilla-Chrome. Eine Sicherheitslücke nach gleichem Muster berichtigte bereits die Version 1.0.3, hier war die Ausführung über Favicons möglich.
Die neue Version ist wie üblich von der Produktseite erhältlich.
){kind=small}
