Neuer URL-Bug in Firefox

Die aktuelle Zero-Day-Lücke ermöglicht es einem Angreifer über eine URL für Webprotokolle, welche die Zeichenfolge “%00” enthält, lokal installierte Anwendungen über den Browser zu starten. Nach Angaben des Mozilla-Sicherheitschefs Window Snyder können über diesen Bug Programme nur mit begrenzten Befehlszeilenparametern gestartet werden.

Entdeckt haben die Schwachstelle Bill Rios, Security Consultant bei Verisign und Nate McFeters, Sicherheitsberater bei Ernst & Young . Der von ihnen entwickelte Proof of Concept öffnet den Windows Taschenrechner auf einem betroffenen Computer. Die beiden Sicherheitsforscher haben verschiedene, denkbare Exploits aufgelistet, bei denen keine Interaktion durch den Nutzer erforderlich ist. Der Taschenrechner sei ein bewusst harmloses Beispiel, das beweisen sollte, dass die Ausführung externer Befehle über Firefox möglich sei.

Die besondere Gefahr dieser Schwachstelle ergibt sich aus dem Umstand, dass auch andere Anwendungen URL-Handler nutzen. Dadurch seien diese Anwendungen von außen steuerbar und ein Fehler in der URL-Behandlung des Browsers würde all diese Programme angreifbar machen, erklärte Rios.

Mozilla hat erklärt, dass die Auswirkungen dieser Sicherheitslücke zum jetzigen Zeitpunkt nicht abzuschätzen seien und rät zur Vorsicht beim Besuch unbekannter Webseiten. Mozilla arbeitet an einem Patch für dieses Problem, dass Firefox, Netscape und alle Mozilla-Browser auf Windows XP betrifft.