title image


Smiley Zum Thema Sicherheit alternativer Browser
PC Welt 03.02.2005:





Etliche Sicherheitslücken in Mozilla, Firefox und Thunderbird



In nicht mehr ganz aktuellen Versionen der Open-Source-Browser Mozilla und Firefox (vormals "Firebird", "Phoenix") sowie des zugehörigen Mail-Programms Thunderbird gibt es eine ganze Reihe von Sicherheitslücken. Diese wurden nun auch von der Mozilla Foundation offiziell bestätigt . Betroffen sind Mozilla-Versionen vor 1.7.5, Firefox vor der finalen Version 1.0 und in zwei Fällen Thunderbird bis Version 0.9.



Die Kombination von zwei Schwachstellen in Mozilla und Firefox kann dazu benutzt werden, über ein gefälschtes Symbol für eine verschlüsselte Verbindung (Vorhängeschloss) das Herunterladen einer Datei von einem vermeintlich sicheren Server über eine unverschlüsselte Verbindung zu ermöglichen.



Ein anderer Schwachpunkt ermöglicht einem Angreifer den Zugriff auf lokale Dateien oder Drucker über einen speziell präparierten Link. Zwei weitere Sicherheitslücken betreffen den Umgang mit Mausklicks, die nicht durch den Anwender sondern durch ein Script erzeugt werden. Angreifer können auf diese Weise den Inhalt der Zwischenablage auslesen oder einen Download auslösen, den Anwender mangels Hinweis nicht bemerken.



Ist in Firefox oder Mozilla ein Proxy-Server eingestellt, kann ein Fehler bei der Behandlung von Autorisierungsanfragen durch einen SSL-Server dazu führen, dass der Browser die Antwort und damit lokale Benutzerdaten an den anfragenden Server sendet und nicht nur an den eingestellten Proxy.



Bei Thunderbird 0.9 können per JavaScript generierte Links dazu führen, dass die Web-Seiten im eingestellten Standard-Browser geöffnet werden. Das kann trotz installiertem Mozilla oder Firefox immer noch der Internet Explorer (IE) sein. Somit könnten alte Schwachstellen des IE ausgenutzt werden, wenn der Anwender den IE nicht mehr benutzt und ihn daher auch nicht durch Updates pflegt.

Durch einen Fehler bei der Behandlung von Cookie-Anfragen in Thunderbird 0.6 bis 0.9 kann während der Aktualisierung von Live-Bookmarks HTML-Code injiziert werden. Dieser kann dann mit den Rechten der momentan Browser-Session ausgeführt werden.

Empfohlen wird ein Update auf die Versionen Thunderbird 1.0 , Mozilla 1.7.5 oder Firefox 1.0 . Überprüfen Sie auch, ob der Internet Explorer als Standard-Browser eingestellt ist. Installieren Sie Sicherheits-Updates für den IE, auch wenn Sie ihn nicht benutzen. Etliche Programme, auch von Drittanbietern, benutzen Komponenten des Internet Explorers.

geschrieben von

Login

E-Mail:
  

Passwort:
  

Beitrag anfügen

Symbol:
 
 
 
 
 
 
 
 
 
 
 
 
 

Überschrift: