Sobald ein Link mit dem Befehl FirefoxURL:// beginnt, wird er über den URI (Uniform Ressource Indentifier, das bekannteste URI dürfte http sein) von Windows an den entsprechenden Registryeintrag weitergegeben. Da die hierfür zuständige DLL urlmon.dll grundsätzlich keine Filterungen vornimmt und jede Form von Eingabe (auch Sonderzeichen und Umlaute) akzeptiert, kann auf diese Weise praktisch jeder beliebige Befehl an das betreffende Programm gegeben werden. Da auch die Chrome-Engine von Firefox so aufgerufen werden kann, die Javascript mit vollem Systemzugriff ausführen darf, ist damit dem Angriff auf das System Tür und Tor geöffnet.
Die Mozilla Foundation hat bereits angekündigt, das Problem mit der nächsten Version von Firefox (2.0.0.5) beheben zu wollen. Bei AIM und Trillian, die beide über die AIM.dll gefährdet sind, stehen entsprechende Stellungennahmen noch aus. Die Chip-Redaktion empfiehlt für Firefox die URIs mit folgenden Befehlen aus der Registry zu entfernen:
- reg delete HKCR\FirefoxHTML /f
- reg delete HKCR\FirefoxURL /f
Die wesentlicheren Probleme sind zum einen herauszufinden, welche Programme überhaupt registiert sind. Dies übernimmt das Skript DumbURI.vbs - eine Variante, die aber nur versierte Nutzer verwenden sollten. Zum anderen ist es viel wichtiger zu wissen, welche Programme gefährdet sind. Dies ist aber zur Zeit nicht zu klären, da bisher nur Firefox und AIM/Trillian bekannt sind.
Update 18.07.2007:
Von Firefox ist die Version 2.0.0.5 veröffentlicht worden, welche die Lücke schließt. Die neue Version bekommt ihr entweder über das Autoupdate oder von Mozilla.
