Kritische Sicherheitslücke im Mozilla Firefox

12. Mai 2005, 13:09
41 Postings

Code kann eingeschmuggelt werden - Exploit im Umlauf aber nicht mehr funktionstüchtig

Mit seiner ersten von Secunia als "extrem kritisch" eingestuften Sicherheitslücke sieht sich der Mozilla Firefox konfrontiert. Genau genommen handelt es sich dabei um eine Kombination aus zwei verschiedenen Problemen, die dazu genutzt werden können, um Schadcode einzuschmuggeln.

Erweiterungen als Falle

Der Fehler liegt hierbei im Bereich der Extensions für den Open Source Browser: So ist es möglich die Whitelist - mit der die Softwareinstallation von nicht explizit freigegebenen Seiten verhindert werden soll - auszutricksen. Der Code selbst lässt sich dann über eine per Javascript manipulierte Icon URL einschmuggeln.

Exploit

Was die Lücke so kritisch macht, ist auch, dass offenbar bereits seit einigen Tagen ein Exploit für die Lücke im Umlauf ist, der allerdings vorerst nicht an die Öffentlichkeit gelangt war, sondern nur einem kleinen Kreis zugänglich gemacht wurde. Mittlerweile haben die Mozilla-EntwicklerInnen aber bereits darauf reagiert und zumindest der ursprüngliche Exploit sollte aufgrund einer Änderung bei update.mozilla.org nicht mehr funktionieren. UserInnen, die außer dem Default-Eintrag update.mozilla.org keiner anderen Seite die Installation von Erweiterungen erlaubt haben, sollten damit fürs erste sicher sein, das grundlegende Problem wird damit freilich noch nicht behoben.

Ärger

Rätselraten gibt es auch darüber, wie die Sicherheitslücke und der zugehörige Exploit öffentlich geworden ist, denn beide wurden erst vor kurzem dem Mozilla-Sicherheitsteam unter Ausschluss der Öffentlichkeit gemeldet. Der Entwickler des Exploits Paul von Greyhat-Security, zeigt sich in einem Mail an die Full Disclosure-Liste jedenfalls verärgert über diesen Umstand. Nach anfänglichen Befürchtungen, dass sein Server gehackt worden sei, scheint er nun davon überzeugt, dass es sich bei dem Vorfall "nur" um ein Vertrauensproblem handle. Jedenfalls werden er und Michael Krax - der in der Vergangenheit schon einige Firefox-Sicherheitslücken aufgespürt hatte und auch dieses mal beteiligt war - in Zukunft vorsichtiger sein.

Ausweg

Momentan wird an einem Update für den Firefox gearbeitet, wer bis dorthin ganz auf Nummer sicher gehen will, kann unter Extras > Einstellungen > Web-Features die Option "Websites das Installieren von Software erlauben" deaktivieren. Bereinigt werden soll das Problem dann mit Firefox 1.0.4, der bereits in den nächsten Tagen zur Verfügung stehen soll. (apo)

  • Bild nicht mehr verfügbar
Share if you care.