Mittwoch, Januar 23, 2008

SECURITY - Firefox gibt Informationen preis

Aufgrund einer sogenannten Directory-Traversal-Schwachstelle in Firefox können manipulierte Webseiten möglicherweise vertrauliche Informationen auf dem Rechner auslesen. Die Mozilla-Entwickler untersuchen das Sicherheitsleck zurzeit.
In dem Blog www.hiredhacker.com
st eine Demonstration der Schwachstelle aufgetaucht. Sie soll vorführen, wie eine Webseite auf die gespeicherten Einstellungen des Mailprogramms Thunderbird zugreifen kann. Dazu muss in Firefox jedoch eine Erweiterung installiert sein, die nicht als .jar-Archiv verpackt ist. Den Mozilla-Entwicklern zufolge liegen Browser-Erweiterungen allerdings häufiger in so einer Form vor. Eine Webseite kann beispielsweise mit den Befehlen zum Einbinden von Bildern, Skripten oder Stylesheets dann auf chrome://-URLs zugreifen. In diesen URLs wandelt Firefox kodierte Zeichen wie %2e%2e%2f nicht in ../ um und filtert sie auch nicht aus, sodass darüber beliebige Dateien ausgelesen werden können.
Angreifer können so jedoch auch überprüfen, ob bestimmte Programme und Erweiterungen installiert sind. Damit können Schädlingsbastler, die Anwendern mit präparierten Webseiten Schadcode unterjubeln wollen, möglicherweise mit einer solchen Webseite noch mehr Schwachstellen auf einem Rechner finden und missbrauchen.

Als Beispiele für Erweiterungen, die das Ausnutzen der Schwachstelle ermöglichen, nennen die Mozilla-Entwickler Download Statusbar und Greasemonkey. Der Entwickler von Download Statusbar hat inwischen ein aktualisiertes Paket bereitgestellt, das als .jar verpackt ist. Nutzer des Add-ons sollten die installierte Version rasch aktualisieren.
Den Fehler haben die Mozilla-Entwickler ursprünglich als niedriges Risiko eingestuft. Dem Eintrag im Fehlerverfolgungssystem Bugzilla zufolge soll der Fehler in der Render-Engine Version 1.8.1.12 beseitigt werden; Firefox 2.0.11 nutzt Version 1.8.1.11. Wann die fehlerbereinigte Version erscheinen soll, ist bislang jedoch noch unklar.
Bis dahin bleibt Betroffenen nichts übrig, als die Erweiterungen (Download Statusbar und Greasemonkeyzu stoppen und auf ein Update zu warten.

Labels:

0 Kommentare:

Kommentar veröffentlichen

Abonnieren Kommentare zum Post [Atom]

<< Startseite