Freitag, Februar 01, 2008

SECURITY - Mozilla-Entwickler korrigieren Risikoeinschätzung von Lücke

Risiko einer kürzlich bekannt gewordenen Sicherheitslücke in Firefox, die das Ausspähen von Daten auf dem Rechner ermöglicht, schätzen die Mozilla-Entwickler inzwischen als hoch ein. Durch Browser-Add-ons, die nicht als .jar-Archiv verpackt sind, sondern als sogenanntes "Flat Package" vorliegen, können Angreifer mit manipulierten chrome://-Verknüpfungen in bestimmten HTML-Tags in Webseiten die Lücke ausnutzen.
Im Sicherheitsblog der Mozilla-Foundation hat die Sicherheitschefin Window Snyder ein Status-Update eingestellt. Darin verlinkt sie eine ausführliche, aber nicht vollständige Liste von Add-ons, die nicht als .jar-Paket installiert werden und daher die Sicherheitslücke aufreißen. Die Entwickler der Add-ons bittet Snyder zudem, die Add-ons in ein .jar-Archiv zu verpacken und die Aktualisierung zu veröffentlichen.
Gerry Eisenhaur hat den Blog-Eintrag auf hiredhacker.com zwischenzeitlich aktualisiert, in dem er die Lücke bekannt gemacht hat, um eine weitere Demonstration der Lücke zu ergänzen, die den Inhalt der sessionstore.js-Datei ausliest. Sie soll dadurch Informationen der aktuellen Browsersitzung wie Cookies oder geöffnete Tabs anzeigen. Eisenhaur weist in dem Blog-Eintrag auch darauf hin, dass die populäre Browser-Erweiterung NoScript vor Angriffen auf diese Lücke schützt.
Die Mozilla-Entwickler haben den Fehler in den Entwicklungszweigen bereits behoben und testen den Code in den Nightly Builds des Release-Candidate von Firefox 2.0.0.12. Medienberichten zufolge soll der Browser am 5. Februar in der finalen Version freigegeben werden.

Siehe dazu auch:

0 Kommentare:

Kommentar veröffentlichen

Abonnieren Kommentare zum Post [Atom]

<< Startseite