Nach einem Bericht des Sicherheitsexperten Michael Krax gibt es einige eher ungefährliche Sicherheitslücken in den Browsern Mozilla und Firefox, bei denen der Angreifer Programmcode einschleusen und die Konfiguration des Browsers ändern kann.
Eine Sicherheitslücke betrifft die Tabbed-Browsing-Funktionen, worüber sich der JavaScript-Sicherheitsmanager austricksen lässt. Das Opfer muss dazu gebracht werden, einen Link per Drag-and-Drop auf ein bereits geöffnetes Tab-Fenster zu ziehen. So lassen sich Cookie-Daten ausspähen, da so dem Angreifer der Zugriff auf die Cookies der betreffenden Seite erlaubt wird. Wenn in dem betreffenden Tab-Fenster vorher mit about:config die Konfigurationsseite des Browsers aufgerufen wurde, lassen sich mit Hilfe von Drag-and-Drop Dateien auf dem Rechner des Opfers ablegen. Um Programmcode ohne Berechtigung auszuführen, müssen jedoch für die geöffnete Seite spezielle Konfigurationen in about:config vorgenommen werden, die normalerweise deaktiviert sind.
Ein weiters Sicherheitslücke betrifft Flash-Plug-Ins oder Opacity-Filter, bei denen die Browser-Konfiguration in einen Frame versteckt werden kann, um Änderungen an der Browser-Konfiguration vorzunehmen.
Die dritte Socherheitslücke betrifft das Einschleusen von ausführbaren Programmcode mit Hilfe von manipulierten Bilddateien, die das Opfer auf den eigenen Rechner lädt. Nachdem die manipulierte Datei auf den Rechner geladen ist, wird die Datei aber mit korrekter Endung angezeigt, so dass erkennbar ist, dass es sich hierbei keineswegs um eine Bilddatei handelt.
Das Mozilla-Team hat bereits die Sicherheitslöcher beseitigt und ein finales Update sollte bald verfügbar sein. Das Firefox-Team wird dann vermutlich das Update des Mozilla-Team als Grundlage für ein Firefox-Update verwenden.

Weiterführende Links:

• mikx.de
• golem.de
• mozilla.org