SECURITY - Zwei kritische Lücken in Firefox gestopft

Mit den Versionen 2.0.0.16 beziehungsweise 3.0.1 stopfen die Entwickler zwei Sicherheitslücken in Firefox, die sie als kritisch einstufen. Die Versionen sollten demnächst über den eingebauten Update-Mechanismus angeboten werden und auch auf den Download-Sites auftauchen.

Die eine Lücke beruht darauf, dass man Firefox beim Start mehrere URLs übergeben kann, die durch das Pipe-Symbol getrennt sind und dann unter verschiedenen Reitern geöffnet werden.

firefox 'http://heisec.de|ix.de'

Auf diesem Weg lassen sich offenbar die Sicherheitsvorkehrungen umgehen, die den Zugriff auf spezielle URIs wie chrome: absichern sollen. Das bedeutet, dass beispielsweise Skripte vollen Zugriff auf das System erlangen können. Fast schon skurril wirkt der von den Entwicklern angegebene Workaround. Weil der Angriff nur funktioniert, wenn Firefox neu gestartet werden muss, empfehlen sie: "Die Benutzung von Firefox [...] verhindert den Angriff".

Die andere Lücke bezieht sich auf einen möglichen Pufferüberlauf in einem Zähler, wie oft ein CSS-Objekt genutzt wird. Es handelt sich dabei vermutlich um das vor knapp vor einem Monat gemeldete Problem; es lässt sich unter geeigneten Umständen dazu ausnutzen, um Code einzuschleusen und auszuführen. Dieses Problem betrifft zwar auch den Mailer Thunderbird. Es kommt dort aber nur zum Tragen, wenn der Anwender das per Default abgeschaltete Ausführen von JavaScript aktiviert hat, was auch ohne diese Lücke keine gute Idee ist, weil es Missbrauch Tür und Tor öffnet.(Quelle:Heise.de)

Siehe dazu auch:

• Firefox 2.0.0.16 release notes
• Security Advisories for Firefox 3.0
• Remote code execution by overflowing CSS reference counter, Sicherheitsnotiz von Mozilla
• Command-line URLs launch multiple tabs when Firefox not running, Sicherheitsnotiz von Mozilla