Thema: Lücke durch parallele Installation von Firefox 2 und Internet Explorer

[SiLæncer]

Über ein trickreiches Zusammenspiel von Internet Explorer und Firefox 2 kann ein Angreifer über eine manipulierte Webseite beliebige Befehle auf einem PC ausführen. Ursache des Problems ist die Verarbeitung der Firefox-spezifischen URI firefoxurl://, mit der es möglich ist, eine neue Firefox-Instanz mit einer beliebigen Adresse zu starten. Die URI ist unter anderem in der Form firefox.exe -url "%1" registriert, wobei der Parameter die zu öffnende Seite darstellt. Durch Einfügen eines Anführungszeichens in den Parameter ist es aber laut Thor Larholm möglich, weitere Parameter zu übergeben und Firefox damit zu starten. Unter anderem lässt sich so über die Option -chrome JavaScript im Kontext von Chrome ausführen, also mit vollem Zugriff auf lokale Ressourcen.

Allerdings lässt sich eine derartige URL nicht aus dem Firefox heraus aufrufen, offenbar gibt es einen Schutz vor solchen Zugriffen auf die Kommandozeile. Hier kommt der Internet Explorer ins Spiel: Ihm es egal, was hinter dem Link steckt, wichtig ist für ihn nur zu wissen, welches Programm der URI firefoxurl zugeordnet ist. Somit ruft er den Firefox mit den präparierten Parametern auf. Darüber ist es dann möglich, beliebige Plug-ins in den Firefox zu laden, beliebige Befehle auszuführen und weitere Programme zu starten. Eine Seite mit Demos zeigt unter anderem, wie man darüber etwa die Eingabeaufforderung ohne Nachfrage startet. Die anderen dort aufgeführten Demos funktionierten bei einem Test der heise-Security-Redaktion jedoch nicht oder brachten im Firefox eine Warnmeldung, dass eine externe Anwendung gestartet werden würde. Auch Thor Larholm, der Entdecker des Problems, hat eine Demo veröffentlicht, die allerdings wohl nur mit zusätzliche Modifikationen funktioniert. Larholm will aber eine korrigierte Fassung demnächst bereit stellen.

Wer nun für das Problem verantwortlich ist, ist noch nicht endgültig geklärt. Einige Sicherheitsdienstleister geben dem Firefox 2 dafür die Schuld, da er die spezielle URI registriert. Andere wiederum sehen den Internet Explorer als Verursacher, da er die URI respektive URL ohne weitere Prüfung aufruft. Für Windows-Anwender, die beide Browser installiert haben und trotzdem vorwiegend mit den Internet Explorer unterwegs sind, hilft derzeit nur, die URI zu deregistrieren. Dazu genügt es, in der Eingabeaufforderung folgenden Befehle einzugeben:

reg delete HKCR\FirefoxHTML /f

reg delete HKCR\FirefoxURL /f

Siehe dazu auch:

    * Internet Explorer 0day Exploit, Fehlerbericht von Thor Larholm
    * Cross Browser Scripting Demo, Demos von Billy (BK) Rios et al
    * Blocking the Firefox - IE 0-day, Blog von Jesper Johansson

Quelle und Links : http://www.heise.de/security/news/meldung/92525

[Jürgen]

Obwohl ich den IE nicht zum Surfen nutze und in allen Zonen rein vorsorglich ohnehin äusserst restriktiv eingestellt habe, habe ich diese Änderungen auch auf meinem System durchgeführt.

Spezielle Dokumentenformate für FF zu registrieren, halte ich grundsätzlich für eine sehr dumme sonst und eigentlich M$-typische Idee.

Leider wird der IE von sehr vielen Software-Produkten vorausgesetzt, obwohl das meist technisch völliger Unfug ist.

Und mir schwant, solche Lücken könnten Malware-Programmierern als günstige Möglichkeit nutzen, die von ihnen wie M§ ungeliebten Alternativ-Browser zu bekämpfen.
Insofern erwarte ich nicht, dass M$ irgendetwas an ihrem Malware-Einfallstor ändern wird...

Glücklicherweise gibt es ausreichend Alternativen, abseits vom Mainstream.
Die Welt ist eben bunt und nicht zweifarbig / binär...