Firefox 1.0.4 noch in dieser Woche?

Andreas Frischholz
40 Kommentare

Nach der Veröffentlichung einer kritischer Sicherheitslücke am gestrigen Sonntag hat es sich die Mozilla-Foundation zum Ziel gesetzt zügig zu reagieren und will noch im Laufe dieser Woche eine überarbeitete Version des Firefox-Browsers zur Verfügung stellen.

Die Sicherheitslücke in der aktuellen Version 1.0.3 wurde durch einen Exploit des French Security Incident Response Team bekannt. Dieser macht sich zwei verschiedene Sicherheitslücken zunutze, die in Kombination das Ausführen von beliebigem Code ermöglichen. Zum einen lässt sich Firefox dazu verleiten, einer als nicht vertrauenswürdig eingestuften Website das Installieren von Erweiterungen zu gestatten. Die zweite Lücke besteht darin, dass beim Installieren von Erweiterungen eine URL nicht dahingehend überprüft wird, ob sie Javascript-Code beinhaltet. Ist dies der Fall, wird dieser ohne jegliche Einschränkungen ausgeführt.

Der nun veröffentlichte Exploit schreibt eine Batch-Datei auf das Laufwerk C:, die ausgeführt wird sobald der Anwender irgendwo in das Fenster des Browsers klickt. In diesem Beispiel wird nur die Eingabeaufforderung geöffnet – bösartiger Programmcode könnte zum Beispiel auch Viren oder Trojaner auf dem Rechner installieren.

Als Schutzmaßnahme wird den Anwendern das Deaktivieren von Javascript empfohlen. Das Deaktivieren der Installation von Erweiterungen („Websites das Installieren von Software erlauben“), zu finden in den Einstellungen unter „Web-Features“, schützt lediglich gegen eine der beiden Sicherheitslücken. Als rudimentäre Vorsichtsmaßnahme wurden die Mozilla-Server, von denen Erweiterungen heruntergeladen werden können, dahingehend modifiziert, dass die standardmäßig als vertrauenswürdig eingestufte Domain „update.mozilla.org“ auf eine andere, nicht in der Whitelist aufgeführte, Domain verweist.

Ob mit der kommenden Version 1.0.4 weitere Sicherheitslücken im Browser geschlossen werden ist bislang nicht bekannt, man kann jedoch damit rechnen, dass diese ungeplante Zwischenversion den Zeitplan der Entwickler durcheinander geworfen hat und es somit zur einer Verzögerung der Alpha-Version 1.1 des Firefox-Browser kommen könnte.