Firefox: URI-Schwachstelle zum Dritten

Hier werden aktuelle Meldungen diskutiert
[this is the place to discus news topics]
Antworten
Benutzeravatar
doelf
Moderator
Moderator
Beiträge: 34991
Registriert: 12 Feb 2004, 23:29
Wohnort: Alsdorf
Kontaktdaten:

Firefox: URI-Schwachstelle zum Dritten

Beitrag von doelf » 06 Sep 2007, 16:50

Bereits im Firefox 2.0.0.5 sollte die URI-Schwachstelle geschlossen werden, doch es zeigte sich, dass die Bereinigung nicht alle Eventualitäten eingeschlossen hatte. Ein genauer Blick auf den Code offenbarte den Entwicklern, dass das URL-Handling einer gründlichen Überarbeitung bedarf, so dass auch im Firefox 2.0.0.6 nur ein provisorischer Fix eingebaut wurde. Dieser hat nun einen Monat lang gehalten, doch nur ist es abermals gelungen, die URI-Schwachstelle zum Auführen beliebiger Programme auszunutzen.

Nach wie vor führt Firefox eine unzureichende Kontrolle der URLs durch, so das mit Hilfe speziell gestalteter Verknüpfungen beliebige auf dem PC installierte Programme aufgerufen werden können. Vorraussetzung für diesen Fehler sind ein installierter Internet Explorer 7 sowie Windows XP. Diesmal wurde durch eine mailto URI der Aufruf des Windows Scripting Host an den Windows File Handler weitergereicht, es hätte allerdings auch jedes andere Programm, dessen Pfad bekannt ist, gestartet werden können. Abermals wurde der Fehler von Billy Rios und Nate McFeters dokumentiert. Die Entwickler des Firefox hatten bereits bei der Veröffentlichung der Version 2.0.0.6 angekündigt, dass es sich lediglich um eine provisorische Lösung handelt. Ein neues Update ist derzeit in Arbeit, der Termin der Veröffentlichung ist allerdings noch unbekannt.

Quelle:
http://xs-sniper.com/blog/2007/09/01/fi ... ling-woes/

Antworten