Neue ungepatchte Sicherheitslücken bei Internet Explorer und Firefox

21. März 2006, 12:40
2 Postings

Microsoft-Browser hat Probleme mit Flash-PlugIn - Open Source-Konkurrenz für Cross-Site-Scripting anfällig

Die zwei Browser mit den größten Marktanteilen sehen sich derzeit mit ungepatchten Sicherheitslücken konfrontiert: Sowohl für den Internet Explorer als auch den Mozilla Firefox sind in den letzten Tagen neue Berichte über offene Probleme aufgetaucht.

Neue Lücke

So wurde auf der Sicherheits-Mailing-Liste Bugtraq von einem Autor, der sich das Pseudonym "porkythepig" verpasst hat, eine Lücke im Microsoft-Browser im Zusammenspiel von Active Scripting und Macromedias Flash-Plugin veröffentlicht. Das Problem entsteht, wenn ein Flash-Objekt eine VB.Script-Funktion aufruft, welche wiederum eine JScript-Routine startet.

Code einschleusen

Auf diese Weise kann der Browser zum Absturz gebracht werden, laut - unbestätigten - Aussagen des Autors lässt sich danach fremder Code einschleusen und zur Ausführung bringen. Die Lücke ist auch auf voll gepatchten Windows XP SP2-Systemen vorhanden, eine Stellungnahme von Microsoft steht noch aus.

Fehler

Doch auch die Konkurrenz vom Mozilla-Projekt sieht sich mit einer neuen offenen Sicherheitslücke konfrontiert: Das eigene CSS-Objekt "-moz-binding" lässt sich von Webseiten benutzen, um JavaScript in das Document Object Model (DOM) einzuschleusen.

Attacken

Konkret ermöglicht dies den Zugriff auf Informationen von anderen gleichzeitig geöffneten Webseiten, sogenannte Cross-Site-Scripting-Attacken also. Die Lücke wird derzeit in den Bug-Datenbank von Mozilla ausführlich diskutiert, betroffen sind alle aktuellen Browser des Projekts, darunter auch der Firefox 1.5.0.1 und Seamonkey 1.0.

Abhilfe

Abhilfe für beide Lücken bietet das deaktivieren von Active Scripting bzw. JavaScript in den jeweiligen Browsern. Beim Firefox ermöglicht die NoScript-Extension Javascript nur für vertrauenswürdige Domains freizugeben. (red)

  • Bild nicht mehr verfügbar
Share if you care.