Die aktuelle Zero-Day-Lücke ermöglicht es einem Angreifer über eine URL für Webprotokolle, welche die Zeichenfolge “%00” enthält, lokal installierte Anwendungen über den Browser zu starten. Nach Angaben des Mozilla-Sicherheitschefs Window Snyder können über diesen Bug Programme nur mit begrenzten Befehlszeilenparametern gestartet werden.
Entdeckt haben die Schwachstelle Bill Rios, Security Consultant bei Verisign und Nate McFeters, Sicherheitsberater bei Ernst & Young . Der von ihnen entwickelte Proof of Concept öffnet den Windows Taschenrechner auf einem betroffenen Computer. Die beiden Sicherheitsforscher haben verschiedene, denkbare Exploits aufgelistet, bei denen keine Interaktion durch den Nutzer erforderlich ist. Der Taschenrechner sei ein bewusst harmloses Beispiel, das beweisen sollte, dass die Ausführung externer Befehle über Firefox möglich sei.
Die besondere Gefahr dieser Schwachstelle ergibt sich aus dem Umstand, dass auch andere Anwendungen URL-Handler nutzen. Dadurch seien diese Anwendungen von außen steuerbar und ein Fehler in der URL-Behandlung des Browsers würde all diese Programme angreifbar machen, erklärte Rios.
Mozilla hat erklärt, dass die Auswirkungen dieser Sicherheitslücke zum jetzigen Zeitpunkt nicht abzuschätzen seien und rät zur Vorsicht beim Besuch unbekannter Webseiten. Mozilla arbeitet an einem Patch für dieses Problem, dass Firefox, Netscape und alle Mozilla-Browser auf Windows XP betrifft.
Event: Anwendertagung und Fachausstellung "Quantum Photonics" am 13. und 14. Mai 2025 in Erfurt.
Mit dem Cyber Resilience Act, dem Data Act, der Produktsicherheitsverordnung und der neuen Produkthaftungsrichtlinie greift…
Fred, der KI-gesteuerte digitale Assistent, nutzt den Generative AI Service der OCI und die Oracle…
Cyberkriminelle verstärken Angriffe mit FakeUpdates und RansomHub als Schlüsselwerkzeuge.
Autonom agierende Agenten werden Sicherheitsteams bei der Angriffsabwehr unterstützen, sagt Zac Warren von Tanium.
