Fehler im Firefox und Mozialla

Der Sicherheitsspezialist Michael Krax hat 3 Fehler im Firefox 1.0 für Windows und Mozilla 1.7.5 für Windows gefunden. Durch diese Bugs haben Angreifer die Möglichkeit, ausführbare Dateien auf ein System zu laden, Befehle auf einem PC auszuführen sowie die Konfiguration des Browsers zu verändern.

Der 1. Fehler bezieht sich dabei auf das Drag & Drop von Objekten aus dem Browser heraus. Diese Funktion, normalerweise nur mit Bilder erlaubt, kann ein findiger Angreifer durch eine sogn. Hybrid-Datei überlisten. Eine Hybrid-Datei beinhaltet beides, sowohl ein Bild als auch ein Batch-Datei. Der Webbrowser stellt dabei lediglich das Bild dar, zieht der Anwender diese Datei aber auf den Desktop, wird diese plötzlich zu einer Batch-Datei, die dann schon mal von einem sorglosen Anwender ausgeführt werden kann.

Der 2. Fehler befasst sich mit dem Flash-Plugin und dem Opacity-Filter von Firefox. Diese lassen sich dazu „missbrauchen“ um die about:config in einem nicht sichtbaren Frame darzustellen und User dazu verleiten Ihre Config zu verändern … ohne das sie dieses merken!!

Der 3. Fehler bezieht sich auf den Javascript Security Manager und das Tabbed Browsing. Normalerweise verhindert der JSM das Javascript-Links Inhalte in bereits geöffneten Fenstern aufrufen können. Zieht man diese allerdings auf ein Tab, versagt der Manager. Was bei Links sehr praktisch ist, kann also in bestimmten Situationen gefährlich werden!

Die FireFox bzw. Mozilla entwickler wurden bereits über das Problem informiert und haben ein „Nightly Build“ von Firefox zur Verfügung gestellt.

Eine Demo der Bugs findet man auf www.mikx.de