URI-Lücke in Firefox weiterhin offen

Billy Rios and Nate McFeters, die Entdecker der URI-Lücke im Open-Source-Browser Firefox, haben in ihrem Blog darauf hingewiesen, dass das eigentliche Problem mit der Veröffentlichung von Firefox 2.0.0.6 Ende Juli nicht beseitigt wurde. So wollen sie einen neuen Weg gefunden haben, um über File-Handler und präparierte Pfade trotzdem weitere Anwendungen zu starten.

Allerdings haben die Firefox-Entwickler bereits mit der Veröffentlichung der aktuellen Browserversion deutlich gemacht, dass das Update nur ein Workaround darstellt, um Zeit zu gewinnen und zumindest vor den bekannten Exploits mit %00- oder %-Zeichen zu schützen. Rios und McFeters haben außer einem Screenshot deshalb auch keine genauen Angaben über das neue Problem veröffentlicht, damit die Entwickler in Ruhe an der Behebung des Fehlers arbeiten können. Wann eine überarbeitete Firefox-Version erscheinen wird, ist nicht bekannt.

Die URI-Lücke tritt bei der Behandlung spezieller URLs auf, die bei installiertem Internet Explorer 7 unter Windows XP dazu führen, dass Angreifer beliebige installierte Programme aufrufen können. Dadurch lassen sich mittels manipulierter Links in Webseiten oder E-Mails auch schädliche Aktionen ausführen. Bislang ist allerdings nicht gänzlich geklärt, was die eigentliche Ursache des Problems ist. Unter anderem ist die verwirrende Behandlung von URLs unter Windows Teil des Problems. Auch Skype, Miranda und wahrscheinlich weitere Anwendungen weisen die URI-Lücke auf.

Siehe dazu auch:

• Firefox File Handling Woes, Blogeintrag von Billy Rios
• Neue Firefox-Version mit Sicherheitskorrektur für URI-Lücke , Meldung von heise Security

(dab/c't)