Dedies-Board (https://www.dedies-board.de/wbb2/index.php)
- Sicherheit (https://www.dedies-board.de/wbb2/board.php?boardid=6)
--- Sicherheitsnews (https://www.dedies-board.de/wbb2/board.php?boardid=7)
---- Sicherheitsnews-Archiv (https://www.dedies-board.de/wbb2/board.php?boardid=39)
----- Kritisches Sicherheitsloch im Firefox-Browser (https://www.dedies-board.de/wbb2/thread.php?threadid=305)

Geschrieben von dedie am 08.05.2005 um 16:21:

Achtung Kritisches Sicherheitsloch im Firefox-Browser

Das French Security Incident Response Team, früher bekannt als k-otik.com, hat einen Exploit für die aktuelle Version (1.0.3) von Firefox veröffentlicht, mit der Web-Seiten Windows-Anwendern beliebigen Code unterjubeln und diesen ausführen können. Ursache des Problems ist ein Fehler bei der Verarbeitung von Add-ons (Firefox Extensions) durch bestimme JavaScripte. Dadurch kann eine Web-Seite Code im Chrome-Kontext ausführen -- ähnlich der lokalen Zone des Internet Explorers. Chrome-URLs dürfen quasi beliebig auf lokale Ressourcen zugreifen, lassen sich jedoch normalerweise aus Web-Seiten heraus nicht aufrufen. Aber bereits bei den zuletzt in Firefox und Mozilla aufgedeckten Sicherheitslücken zeigte sich, dass Angreifer diese Restriktionen leicht umgehen können.

Weiter gehts bei Heise


Geschrieben von MobyDuck am 08.05.2005 um 18:07:

 

Zitat:
Die Entwickler sind über die Schwachstelle bereits informiert und schlagen alternativ vor, unter Extras\Einstellungen\Web-Features die Option "Websites das Installieren von Software erlauben" zu deaktivieren.


Das predige ich schon (fast) solange es den FF gibt. Augen rollen


Geschrieben von MobyDuck am 12.05.2005 um 09:59:

 

edit 2:

Offenbar hat die Mozilla Foundation mittlerweile ihren Add-on-Server modifiziert, sodass der Exploit nicht mehr funktioniert.
http://www.heise.de/newsticker/meldung/59374