Unter den Namen Firedragging, Firetabbing und Fireflshing veröffentlichte der Sicherheitsexperte Michael Krax Demo-Seiten für drei Sicherheitslücken im freien Web-Browser Firefox 1.0 und Mozilla 1.7.5 welche es potentiellen Angreifern ermöglichen, Befehle auf dem PC aus zu führen oder Einstellungen zu verändern. Für alle drei Schwachstellen ist zwar die Mitarbeit des Users gefordert, dies wird den meisten Benutzern aber kaum als problematisch auffallen. Firedragging nannte Michael Krax einen Fehler, der in ähnlicher Form bereits im MS Internet Explorer bekannt ist. Hier kann sich durch das Drag-and-Drop eines Bildes auf den Desktop nicht das Bild, sondern z.B. eine Batch-Datei kopieren, welche unvorsichtige User eventuell aus Neugier heraus öffnen könnten.

Der Name Firetabbing weist auf eine Schwachstelle hin, welche durch das Ziehen eines Javascript-Links auf ein bereits geöffnetes Tab den Security Manager des Browsers umgeht. So ist es möglich, Cookies aus zu lesen, bei dem Drag-and-Drop auf eine Seite, die Software installieren darf, bekommt man plötzlich ungewollte Software zur Installation angeboten. Der Fehler Fireflashing ermöglicht es, die Konfiguration des Browsers in einem unsichtbaren Frame dar zu stellen, wo dann wiederum durch Interaction Einstellungen verändert werden könnten. Alle drei Fehler sind bereits den Entwicklern bekannt und wurden in den Nighly Builds von Firefox beseitigt.

Beitrag von Dienstag, 08.02.2005, 10:50 Uhr, (x gelesen). RSS 2.0. Trackback. Startseite.