Neue Firefox-Version mit Sicherheitskorrektur für URI-Lücke
Die Mozilla-Entwickler haben sich dafür entschieden, Firefox 2.0.0.6 mit einer weiteren Korrektur für das Problem mit speziellen URLs auszuliefern. Eine endgültige Lösung steht aber noch aus.
Die Mozilla-Entwickler haben Version 2.0.0.6 des Webbrowsers Firefox freigegeben. Sie bringt eine weitere Korrektur für das Problem, das bei der Behandlung spezieller URLs auftritt, die bei installiertem Internet Explorer 7 unter Windows XP dazu führen, dass Angreifer beliebige installierte Programme aufrufen können. Dadurch könnten bösartige Individuen mit manipulierten Links in Webseiten oder E-Mails auch schädliche Aktionen ausführen.
Firefox 2.0.0.6 enthält den von Daniel Veditz bereits am gestrigen Montag angekündigten Patch, der eine Sicherheitslücke bei der Verarbeitung von URLs mit eingebetteten Anführungszeichen schließt. Der Patch löst auch das Problem bei der Verarbeitung von URLs mit integrierten %00- oder %-Zeichen, durch die installierte Anwendungen aufgerufen werden können. Die Entwickler erläutern in der Sicherheitsmeldung, dass die Lösung noch nicht sauber ist, aber alle bisher bekannten Exploits nicht mehr funktionierten – bei Tests von heise Security passierte beim Folgen der bekannten präparierten Links in der Tat nichts mehr. Wie Veditz am gestrigen Montag gegenüber heise Security äußerte, gewinnen die Entwicker durch die Veröffentlichung der neuen Version Zeit, um eine bessere Lösung für das Problem zu erarbeiten.
Die aktuelle Version behebt ein weiteres Sicherheitsleck, das die Entwickler in der Vorgängerversion mit einem Patch für eine Frame-Spoofing-Sicherheitslücke aufgerissen haben. Dadurch können Angreifer die Rechte etwa für JavaScript-Code mit präparierten Webseiten erhöhen. In den Sicherheitsmeldungen kündigen die Mozilla-Entwickler auch Thunderbird 2.0.0.6, 1.5.0.13 und SeaMonkey 1.1.4 an, die die Schwachstellen ebenfalls beheben. Bislang sind die neuen Versionen allerdings noch nicht auf den Download-Servern aufgetaucht.
Siehe dazu auch:
- Auch Skype von angeblicher "Firefox-Lücke" betroffen, Meldung auf heise Security
- Privilege escalation through chrome-loaded about:blank windows, Fehlerbericht der Mozilla-Entwickler
- Unescaped URIs passed to external programs, Sicherheitsmeldung der Mozilla-Entwickler
- Releasenotes zur neuen Firefox-Version
- Download von Firefox 2.0.0.6
(dmk)
