Skip to: Content | Navigation | Footer

cpunk.de

a cypherpunk's log about debian linux, open source and encryption...

Thu, 19 Jul 2007

Internet Explorer - Firefox exploit: solved

Am 11. Juli wurde auf mozillazine.org über eine Sicherheitslücke berichtet, die bei Windows-Usern den Internet Explorer benutzt, um Schadcode über den Mozilla Firefox auszuführen.

Thor Larholm hatte in seinem Blog berichtet, dass der Internet Explorer beim Besuch einer Website, die bspw. in einem iFrame eine firefoxurl://url enthält, ohne irgendeinen Hinweis Firefox öffnet, um diese Url aufzurufen. Weder der Internet Explorer, noch Firefox überprüfen dabei den Inhalt des auszuführenden Codes - es kann also auch schädlicher JavaScript-Code eingeschleust werden.

Eine Woche nach Bekanntwerden dieser Sicherheitslücke wurde nun eine neue Firefox-Version veröffentlicht, die das Problem behebt. Larholm weist allerdings darauf hin, dass das Problem so nur im Browser aus der Mozilla-Familie behoben sei, nicht aber in anderer Software, die weiterhin gefährdet ist.

Diskutiert wurde darüber, wer denn nun die Schuld an diesem Exploit trage. Larholm beschuldigte jedenfalls Microsoft, da der Internet Explorer hier einfach irgendwelche Programme ausgeführe. Er beschreibt, dass es hier anscheinend auch noch keine großen Bemühungen in Redmond gab, die Lücke zu schließen:

However, I can still automatically launch a wide range of external applications from Internet Explorer and provide them with arbitrary command line arguments. AcroRd32.exe (Adobe Acrobat PDF Reader), aim.exe (AOL Instant Messenger), Outlook.exe, msimn.exe (Outlook Express), netmeeting.exe, HelpCtr.exe (Windows Help Center), mirc.exe, Skype.exe, wab.exe (Windows Address Book) and wmplayer.exe (Windows Media Player) - just to name a few :D
[...]

That reminds me, outlook.exe is an interesting application to pick apart... ;)

Bei mozillazine.org freuen sich die Firefox-Liebhaber jedenfalls schon, dass die Mozilla-Entwickler so rasch reagiert haben, und Microsoft nun doch ein wenig lächerlich aussehen lassen - ganz egal, wer die »Schuld« an dem Problem denn nun trägt.

posted at: 17:01 | path: /2007 | permanent link to this entry | Tags: browser

Calendar:

	July 2007					>
Mo	Tu	We	Th	Fr	Sa	Su
						1
2	3	4	5	6	7	8
9	10	11	12	13	14	15
16	17	18	19	20	21	22
23	24	25	26	27	28	29
30	31

Pages:

• Home
• Impressum
• Ripping DVDs: Mencoder
• Disclaimer
  • RSS
  • RSS 2.0
  • Atom

Search via ixquick

Web Diese Site

Tags:

google wlan nvidia kde mutt linux anonymity jabber pyblosxom openmoko privacy tor encryption gpg imap dsl urlview gnash *C3 rfid pidgin hackerparagraf cpunk random stuff p2p ubuntu bsd podcast debian vds google+ gnome diaspora epiphany nanoblogger fluxbox untagged ccc browser

Social:

Diaspora
identi.ca

Archives:

• 10/12
• 09/12
• 08/12
• 05/12
• 11/11
• 08/11
• 07/11
• 09/10
• 08/10
• 07/10
• 03/10
• 01/10
• 10/09
• 07/09
• 03/09
• 01/09
• 12/08
• 11/08
• 10/08
• 09/08
• 08/08
• 07/08
• 06/08
• 05/08
• 04/08
• 03/08
• 02/08
• 01/08
• 12/07
• 11/07
• 10/07
• 09/07
• 08/07
• 07/07

Contact me | Back to top
© 2006 cpunk | Design by Andreas Viklund