zurück zum Artikel

Schwachstellen in Firefox 2 und Internet Explorer 7

Sowohl Microsoft als auch die Mozilla-Foundation scheinen bei der Entwicklung ihrer neuesten Browser nicht unbedingt darauf geachtet zu haben, alle bekannten Schwachstellen zu beseitigen. So ist etwa eine bereits seit Firefox 1.5.0.6 bekannte DoS-Lücke [1] in der finalen Version von Firefox 2.0 nicht vollständig beseitigt. Auf einschlägigen Mailinglisten wurde aber schon bei der Herausgabe der Release Candidates hingewiesen, dass das Problem nicht behoben sei. Ein modifizierter Exploit [2] für die alte Lücke führt zum Absturz von Firefox 2.0 und 1.5.0.7. Allerdings schlossen die Entwickler schon beim ersten Fix in der Version 1.5.0.7 nicht aus, dass die Lücke sich möglicherweise auch zum Einschleusen von Code ausnutzen lässt und stuften [3] das Problem als kritisch ein.

Diese Einschätzung hat sich nun wohl geändert. Nach Meinung von Mozillas neuer Sicherheitschefin Window Snyder [4] lässt sich der Fehler in Version 2.0 auf keinen Fall zum Einschleusen von Code ausnutzen. Ihrer Meinung nach handele es ohnehin nicht um den alten Fehler, der sei in der neuen Firefox-Version geschlossen. Warum dann der Exploit den gleichen Fehler ausnutzen kann, bleibt offen. Zudem führe der Fehler nur zum Crash, Anwender von Firefox seien nicht wirklich gefährdet, erklärte Snyder, vormals Senior Security Strategist bei Microsoft, gegenüber US-Medien. Allerdings wolle man der Sache noch einmal nachgehen.

Auch im Internet Explorer 7 sind nicht alle im Internet Explorer 6 bekannten Lücken beseitigt. So funktioniert immer noch ein Cross-Site-Scripting Angriff über manipulierte Bilder [5], in denen JavaScript versteckt ist. Diese Lücke ist seit September bekannt und liegt in der Art begründet, wie der Browser Header und Inhalte von Daten einliest. Ein Exploit [6] demonstriert das Problem.

Bereits am Tage der Veröffentlichung der finalen Version des Internet Explorer 7 zeigte [7] Secunia ein Problem im Browser auf, mit dem Angreifer Inhalte geöffneter Fenster ausspähen konnten – ein Problem das Microsoft schon sechs Monate bekannt war. Microsoft meinte dazu in einer Stellungnahme, das Problem sei weder im Internet Explorer 6 noch im Internet Explorer 7 zu suchen, obwohl die Schwachstellendemonstration diese Browser als Angriffsvektor nutzt. Schuld sei vielmehr eine Outlook-Express-Komponente in Windows; man untersuche die Angelegenheit noch.

Dazu gesellt sich eine Schwachstelle im Internet Explorer 7, die Phishern die Arbeit erleichtern [8] könnte. So gelingt es Secunia in einer Demo durch einfaches Anhängen bestimmter Zeichen an eine URL, die angezeigte Adresse in der Adressleiste eines Pop-up-Fensters zu fälschen: In der Demo zeigt die Adressleiste www.microsoft.com an, obwohl der Inhalt von Secunia stammt.

Siehe dazu auch: (dab [9])


URL dieses Artikels:
http://www.heise.de/-112419

Links in diesem Artikel:
[1] http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2006-4253
[2] http://www.derkeiler.com/Mailing-Lists/securityfocus/bugtraq/2006-10/msg00273.html
[3] http://www.mozilla.org/security/announce/2006/mfsa2006-59.html
[4] https://www.heise.de/meldung/Ex-Microsoft-Managerin-geht-als-Sicherheitsspezialistin-zu-Mozilla-160003.html
[5] http://www.securiteam.com/windowsntfocus/6F00B00EBY.html
[6] http://moritz-naumann.com/tests/xss2.jpg
[7] https://www.heise.de/meldung/Erste-Sicherheitsluecke-im-Internet-Explorer-7-Update-173550.html
[8] https://www.heise.de/meldung/Schwachstelle-im-Internet-Explorer-7-hilft-Phishern-111736.html
[9] mailto:dab@ct.de
[10] http://www.securityfocus.com/archive/1/449487