WCM Forum

WCM Forum (http://www.wcm.at/forum/index.php)
-   Internet (http://www.wcm.at/forum/forumdisplay.php?f=8)
-   -   IE + Firefox = Sicherheitslücke (http://www.wcm.at/forum/showthread.php?t=219431)

PrinzRazzo 12.07.2007 06:17
IE + Firefox = Sicherheitslücke
 
aus dem heutigen online-standard

Sicherheitsproblem bei paralleler Installation von IE und Firefox
AngreiferInnen können über präparierte Webseiten auf Rechnern Code einschleusen und ausführen
Sicherheitsexperten warnen vor einer Sicherheitslücke, die auftritt wenn AnwenderInnen Microsofts Internet Explorer und den Mozilla Firefox 2 auf ihren Rechnern parallel installiert haben.

Problem mit der firefoxurl


Das Problem wird durch eine fehlerhafte Verarbeitung der Firefox-spezifischen URI firefoxurl:// möglich. Diese ermöglicht es, mit, eine neue Firefox-Instanz mit einer beliebigen Adresse zu starten. Normalerweise ergeben sich bei der alleinigen Verwendung des Firefox damit keinerlei Probleme - aber sobald sich ein installierter Internet Explorer findet, wird die Sicherheitsproblematik akut.

Es soll zudem möglich sein, beliebige Plug-ins in den Firefox zu laden, beliebige Befehle auszuführen und weitere Programme zu starten. Auch Thor Larholm, der Entdecker des Problems, hat eine Demo veröffentlicht, die allerdings wohl nur mit zusätzlichen Modifikationen funktioniert. Larholm will aber eine korrigierte Fassung demnächst bereitstellen. Noch ist nicht klar, wer für das Problem verantwortlich zeichnet. Als einziger Workaround bleibt derzeit nur, die URI zu deregistrieren.(red)


wer kann dazu näheres berichten?

und was ist eine uri?

lg

Don Manuel 12.07.2007 08:16
http://en.wikipedia.org/wiki/Uniform...rce_Identifier

MANX 12.07.2007 09:41
Hi!

Bei mir kommt, wenn ich im IE7 z.B firefoxurl://www.wcm.at eingebe folgendes - siehe Anhang!

Grüße

Manx

PrinzRazzo 13.07.2007 21:56
okay,
habe mir den link angesehen, bin aber nicht ganz schlau daraus geworden und
wenn ich bei firefox "firefoxurl://www.wcm.at" eingebe, bekomme ich dieselbe meldung.

nur...was kann ich machen, damit mir "nix passiert"???

ein unwissender

Prinz Razzo:look:

maxxmaxx 13.07.2007 22:52
@PrinzRazzo

was du machen kannst!

surf nur mit firefox im internet! -> dort kommt die sicherheitsmeldung über eine "externe Protokoll-Anforderung" und da kannst du das ganze mit abbrechen unterbinden!

die lücke ist nur dann so gefährlich, wenn du mit dem internet explorer surfst, denn da kommt keine sicherheitsabfrage und das externe programm wird sofort gestartet (in der demo wird eine eingabeaufforderung geöffnet)

gruß,
markus

ps.
der online-standard ist aber auch sehr aktuell;)
die meldung kam schon vor 2 tagen auf heise.de


Alle Zeitangaben in WEZ +2. Es ist jetzt 22:37 Uhr.

Powered by vBulletin® Copyright ©2000 - 2025, Jelsoft Enterprises Ltd.
© 2009 FSL Verlag