Beldin
18.04.2005, 15:46
Da wir das Thema ja letzt gerade im TS hatten, kann ichs mir mal wieder nicht ersparen
das hier zu posten :P
Exploit für Lücke in Firefox und Mozilla führt beliebige Programme aus
Für die am Wochenende bekannt gewordenen Sicherheitslücken in Firefox und Mozilla, die mit Version 1.0.3 beziehungsweise 1.7.7 gestopft werden, wurden auch bereits die ersten Exploits für Windows veröffentlicht -- in den Bugreports wurde ebenfalls darauf hingewiesen. Der Sicherheitsspezialist Michael Krax stellt auf seinen Seiten die Demo Firelinking bereit, bei der ein Klick auf einen Link eine Batch-Datei auf die Festplatte schreibt und anschließend startet. Glücklicherweise ruft die Datei nur die Eingabeaufforderung auf.
Potenziell lässt sich diese Lücke auch dazu benutzen, um Trojaner und Backdoors auf dem System zu installieren. Es ist damit zu rechnen, dass in den nächsten Tagen die ersten Seiten im Web auftauchen, die Firefox- und Mozilla-Anwendern Schädlinge unterjubeln. Unter Linux legt der Exploit nur eine Datei an, führt sie jedoch nicht aus.
Anders als bisherige Lücken in Firefox und Mozilla ist für einen erfolgreichen Angriff auf Windows-PCs nur minimale Benutzerinteraktion erforderlich. Auch konnte über die bislang entdeckten Schwachstellen in den Open-Source-Browsern ein Angreifer nicht die Kontrolle über das System erhalten.
Noch Ende März hatte die Präsidentin der Mozilla-Foundation Mitchell Baker vollmundig behauptet, die Sicherheit von Firefox würde nicht unter dessen Popularität leiden. Vielleicht fühlten sich einige Sicherheitsspezialisten durch diese Äußerung angestachelt: Immerhin muss das aktuelle Update noch zwei weitere kritische Lücken schließen. Für eine davon kursiert ebenfalls schon ein Proof-of-Concept-Exploit.
Anwender sollten so schnell wie möglich auf Firefox 1.0.3 oder Mozilla 1.7.7 wechseln. Für die deutsche Version von Firefox steht allerdings derzeit noch kein Auto-Update zur Verfügung. Wer nicht warten möchte, kann sich diese Version auch manuell hier herunterladen: Firefox 1.0.3 für Windows, Deutsch (4.7MB). (dab/c't)
das hier zu posten :P
Exploit für Lücke in Firefox und Mozilla führt beliebige Programme aus
Für die am Wochenende bekannt gewordenen Sicherheitslücken in Firefox und Mozilla, die mit Version 1.0.3 beziehungsweise 1.7.7 gestopft werden, wurden auch bereits die ersten Exploits für Windows veröffentlicht -- in den Bugreports wurde ebenfalls darauf hingewiesen. Der Sicherheitsspezialist Michael Krax stellt auf seinen Seiten die Demo Firelinking bereit, bei der ein Klick auf einen Link eine Batch-Datei auf die Festplatte schreibt und anschließend startet. Glücklicherweise ruft die Datei nur die Eingabeaufforderung auf.
Potenziell lässt sich diese Lücke auch dazu benutzen, um Trojaner und Backdoors auf dem System zu installieren. Es ist damit zu rechnen, dass in den nächsten Tagen die ersten Seiten im Web auftauchen, die Firefox- und Mozilla-Anwendern Schädlinge unterjubeln. Unter Linux legt der Exploit nur eine Datei an, führt sie jedoch nicht aus.
Anders als bisherige Lücken in Firefox und Mozilla ist für einen erfolgreichen Angriff auf Windows-PCs nur minimale Benutzerinteraktion erforderlich. Auch konnte über die bislang entdeckten Schwachstellen in den Open-Source-Browsern ein Angreifer nicht die Kontrolle über das System erhalten.
Noch Ende März hatte die Präsidentin der Mozilla-Foundation Mitchell Baker vollmundig behauptet, die Sicherheit von Firefox würde nicht unter dessen Popularität leiden. Vielleicht fühlten sich einige Sicherheitsspezialisten durch diese Äußerung angestachelt: Immerhin muss das aktuelle Update noch zwei weitere kritische Lücken schließen. Für eine davon kursiert ebenfalls schon ein Proof-of-Concept-Exploit.
Anwender sollten so schnell wie möglich auf Firefox 1.0.3 oder Mozilla 1.7.7 wechseln. Für die deutsche Version von Firefox steht allerdings derzeit noch kein Auto-Update zur Verfügung. Wer nicht warten möchte, kann sich diese Version auch manuell hier herunterladen: Firefox 1.0.3 für Windows, Deutsch (4.7MB). (dab/c't)