| / news / view / 345 |
502 Pagehits |
 |
|
|
 |
Drei Sicherheitslücken in Firefox |
|
Erstellt von Devastator23 am 10.02.2005 01:48
|
Vor allem wegen massvier Sicherheitsprobleme beim Internet Explorer wechseln immer mehr User zum Open-Source-Konkurrenten Firefox aus der Mozilla-Schmiede. Doch jetzt hat der Sicherheitsexperte Michael Krax drei Lücken im Alternativ-Browser entdeckt.
Die erste Lücke lässt es zu, ausführbare Dateien auf den Desktop zu ziehen. Die zweite Lücke ermöglicht das Auslesen fremder Cookies oder das Ausführen von beliebigem Code. Außerdem lassen sich die Grundeinstellungen des Browsers verändern, ohne dass der User es merkt.
Auch nicht der perfekte Browser
Firefox erlaubt es eigentlich nicht, andere Dateien als Bilder per Drag & Drop auf den Desktop zu befördern. Zu anderen Objekten legt der Browser nur eine Verknüpfung an. Krax erstellte nun eine Hybrid-Datei aus einem Bild und einer beliebigen Datei. Diese wird im Browser als Bild angezeigt und kann deswegen auch auf den Desktop verschoben werden. Windows ignoriert aber die Bilddaten und zeigt nun die Datei an.
Wenn es sich dabei um eine EXE- oder BAT-Datei hadelt, blendet Windows den Dateianhang aus. Zwar enntspricht das Icon nicht dem eines Bildes, aber ein unbedarfter User könnte es trotzdem öffnen wollen. So kann dann bösartiger Code auf dem Rechner ausgeführt werden.
Hier geht für den Hacker fast allles
Bei der zweiten Lücke handelt es sich um ein Problem mit Javascript: Der Security Manager verhindert normalerweise, dass Inhalte von einem anderen Server angezeigt werden als die vom aufgerufenen Server. Zieht man aber ein Link auf einen Tab, greift diese Sicherheitsmaßnahme nicht. Damit lassen sich beispielsweise Cookies auslesen, Software installieren oder ein beliebiger Code ausführen – natürlich auch bösartiger.
Die dritte Lücke bilden Plugins wie Flash und diie Transparenzfunktion des Browsers. Zunächst muss der User aber dazu gebracht werden, einen Doppelklick an einer bestimmten Stelle auszuführen; Krax gibt ein DHTML-Spiel als Beispiel an. Dannn kann eine fremde Person in einem unsichtbaren Frame die Datei “about:config” aufrufen und sie verändern.
Warten auf Firefox 1.0.1
Zwar erfordern alle drei Lücken die Beteiligung des User, aber es zeigt sich, dass auch die Mozilla-Abkömmlingen nicht völlig sicher sind. Die Fehler wurden in einem Nightly Build entfernt. Diesen müsste man aber selber kompilieren, deswegen rät Krax, auf Firefox 1.0.1 zu warten.
|
|
|
| |
|
|
Du musst eingeloggt sein um Kommentare schreiben und Bewertungen abgeben zu können!
|
| Bewertung: |
 |
| Anzahl Bewertungen: |
0 |
| Anzahl Kommentare: |
0 |
|
|
|
|
www.netzwelt.de
