Internet Explorer macht Firefox, Trillian und Co. zur Sicherheitslücke

Die Kollegen der Onlineausgabe des PC Magazins Chip warnen vor einer Eingenart des Internet Explorers, mit der andere als sicher geltende Programme bei gleichzeitiger Nutzung eine große Sicherheitslücke eröffnen können. Sobald z.B. Firefox und der Internet Explorer parallel auf dem Rechner installiert sind, kann der Internet Explorer durch einen speziell präparierten Link dazu gebracht werden, jede Art von Code im Firefox auszuführen. Ähnlich funktioniert das auch mit Trillian, AIM und - zumindest theoretisch - anderen Programmen

Sobald ein Link mit dem Befehl FirefoxURL:// beginnt, wird er über den URI (Uniform Ressource Indentifier, das bekannteste URI dürfte http sein) von Windows an den entsprechenden Registryeintrag weitergegeben. Da die hierfür zuständige DLL urlmon.dll grundsätzlich keine Filterungen vornimmt und jede Form von Eingabe (auch Sonderzeichen und Umlaute) akzeptiert, kann auf diese Weise praktisch jeder beliebige Befehl an das betreffende Programm gegeben werden. Da auch die Chrome-Engine von Firefox so aufgerufen werden kann, die Javascript mit vollem Systemzugriff ausführen darf, ist damit dem Angriff auf das System Tür und Tor geöffnet.

Die Mozilla Foundation hat bereits angekündigt, das Problem mit der nächsten Version von Firefox (2.0.0.5) beheben zu wollen. Bei AIM und Trillian, die beide über die AIM.dll gefährdet sind, stehen entsprechende Stellungennahmen noch aus. Die Chip-Redaktion empfiehlt für Firefox die URIs mit folgenden Befehlen aus der Registry zu entfernen:

  • reg delete HKCR\FirefoxHTML /f
  • reg delete HKCR\FirefoxURL /f

Die wesentlicheren Probleme sind zum einen herauszufinden, welche Programme überhaupt registiert sind. Dies übernimmt das Skript DumbURI.vbs - eine Variante, die aber nur versierte Nutzer verwenden sollten. Zum anderen ist es viel wichtiger zu wissen, welche Programme gefährdet sind. Dies ist aber zur Zeit nicht zu klären, da bisher nur Firefox und AIM/Trillian bekannt sind.

Update 18.07.2007:
Von Firefox ist die Version 2.0.0.5 veröffentlicht worden, welche die Lücke schließt. Die neue Version bekommt ihr entweder über das Autoupdate oder von Mozilla.
Veröffentlicht:

Kategorie:
Kommentare: 4
Kommentieren
Jetzt einloggen oder registrieren, um Kommentare zu schreiben.