ComputerBase Menü
Registrieren
Suche
  1. ComputerBase
  2. Apps

Drei Sicherheitslücken in Mozilla gefunden

Steffen Weber
14 Kommentare

In den auf Mozilla basierenden Browsern, also unter anderem auch Firefox, wurden drei Sicherheitslücken gefunden. Zwei davon erfordern Interaktion mit dem Anwender in Form von Drag & Drop, die Dritte ermöglicht das Manipulieren einer Reihe von boolschen Browser-Einstellungen.

Die FireDragging-Schwachstelle setzt voraus, dass ein Anwender ein Bild von einer Website per Drag & Drop auf den Desktop zieht. Aus Sicherheitsgründen erstellt der Browser bei allen Dateitypen außer bei Bildern lediglich eine Verknüpfung. Wenn eine Datei jedoch neben dem eigentlichen Bild z.B. auch noch Batch-Code enthält, kann man den Schutzmechanismus des Browsers austricksen und somit eine ausführbare Datei mit beliebigen Befehlen auf dem Desktop des Anwenders platzieren.

Die zweite Sicherheitslücke, Firetabbing, ermöglicht unter anderem das Auslesen von Cookies fremder Websites, indem der Anwender einen entsprechend präparierten Link mit Javascript-Code auf ein geöffnetes Tab zieht. Die Cookies der in diesem Tab angezeigten Website können dann ausgelesen werden, da Mozilla in diesem Fall nicht verhindert, dass der Javascript-Code im Kontext einer fremden Website ausgeführt wird.

Die Fireflashing-Schwachstelle ermöglicht das unbewusste Ändern von Browser-Einstellungen. Dazu wird ein Flash-Film im HTML-Code eingebettet und zudem in einem sich zwar im Vordergrund befindenden, jedoch mit Hilfe der CSS-Eigenschaft „opacity“ unsichtbar gemachten, Frame die Konfigurations-Seite „about:config“ geladen. Klickt der Anwender nun vermeintlich auf irgendeine Schlatfläche im Flash-Film wird stattdessen der Wert einer Einstellung von „true“ auf „false“ oder umgekehrt geändert.

In den Entwicklungs-Schnappschüssen von Firefox 1.0.1 sind die Fehler bereits allesamt behoben. Angesichts des hohen Grades an erforderlicher Benutzer-Interaktion und der fraglichen Möglichkeit der bösartigen Ausnutzung der dritten Schwachstelle, muss jeder für sich selbst einschätzen, ob er auf eine noch nicht offiziell veröffentlichte Version umsteigt.

Willkommen auf ComputerBase!

Mit Werbung weiterlesen

Besuche ComputerBase wie gewohnt mit Werbung und Tracking. Die Zustimmung ist jederzeit widerrufbar.

Details im Privacy Center und in der Liste unserer Partner. Ein Widerruf ist möglich in der Datenschutzerklärung.

… oder ComputerBase Pro bestellen

Nutze ComputerBase ohne Werbebanner, Video-Ads und Werbetracking schon für 4 €/Monat oder 36 €/Jahr.

Mehr zu ComputerBase Pro

Bereits Pro-Nutzer? Hier anmelden.

Tracking: Wir und unsere 165 Partner verarbeiten personenbezogene Daten, indem wir mit auf Ihrem Gerät gespeicherten Informationen (z. B. eindeutige Kennungen in Cookies) ein Nutzungsprofil erstellen, um z. B. Anzeigen zu personalisieren. Verarbeitungszwecke: Genaue Standortdaten und Abfrage von Geräteeigenschaften zur Identifikation, Informationen auf einem Gerät speichern und/oder abrufen, Personalisierte Anzeigen und Inhalte, Anzeigen- und Inhaltsmessungen, Erkenntnisse über Zielgruppen und Produktentwicklungen.

Impressum Kontakt Datenschutz