Sicherheits-Fix für diverse Mozilla-Produkte

Schon sehr bald, d.h. wahrscheinlich spätestens dieses Wochenende, wird es Updates in Form der Mozilla Suite 1.7.1, Mozilla Firefox 0.9.2 und Mozilla Thunderbird 0.7.2 geben, da am gestrigen Tage eine Sicherheitslücke entdeckt wurde, die das Ausführen von Programmen auf dem Computer des Surfers ermöglicht.

Wie in einer E-Mail an die Mailingliste Full Disclosure geschrieben wird, lassen sich durch das „Shell“-Protokoll beliebige bereits auf einem Windows-System des Anwenders installierte Programme aufrufen. Der Trick bestehe laut Entdecker Andreas Sandblad nun darin, eine Anwendung ausfindig zu machen, die bei Übergabe eines langen Parameters einen Buffer Overflow erzeugt, den der Angreifer dann zum Einschleusen und Ausführen beliebigen Programm-Codes verwenden könnte, welches jedoch nach der Einschätzung des genannten Entdeckers in diesem Fall äußerst schwierig sei. Der eigentliche, den Buffer Overflow ermöglichende Bug, steckt also im Windows Betriebssystem bzw. einer anderen Anwendung als den Mozilla-Produkten, jedoch ermöglichen diese die Ausnutzung direkt über das Internet ohne Kenntnis des Anwenders, sodass die Mozilla-Entwickler sich notgedrungen um das Problem kümmern müssen.

Bereits jetzt, d.h. einen Tag nach Veröffentlichung der Sicherheitslücke, steht ein Patch für alle Mozilla-Anwendungen in Form einer Mozilla-Erweiterung zum Download bereit. Dieser setzt den Wert der Einstellung „network.protocol-handler.external.shell“ auf „false“, deaktiviert also das „Shell“-Protokoll auf Webseiten.

Hinweis: Man kann diese Einstellung natürlich auch von Hand vornehmen, wird dabei jedoch eventuell dadurch irritiert, dass die genannte Einstellung auf der „about:config“-Seite nicht ausgegeben wird. Daher erstellt man einfach über das Kontextmenü eine neue Einstellung mit genanntem Namen und dem Wert „false“.