Thema: Firefox 3.6 soll undokumentiertes Installieren von Add-ons erschweren

[SiLæncer]

Die kommende Version 3.6 des Browsers Firefox soll es Anbietern von Add-ons und Plug-ins erschweren, den Standardweg zur Einbindung ihrer Erweiterungen zu umgehen. Firefox soll damit sicherer und stabiler werden. Kern des Problems ist laut Johnathan Nightingale, dass einige Hersteller ihre Module einfach in das Komponenten-Verzeichnis installieren, von der aus Firefox seine Module lädt. Damit erscheinen diese Erweiterungen ("Raw Components") aber nicht im Add-on-Manager.

Der Anwender bemerkt so unter Umständen gar nicht, dass ein Modul installiert wurde. Bei anschließenden Abstürzen hat er somit auch keine Möglichkeit, die Ursache nachzuvollziehen und einzelne Erweiterungen zu deaktivieren. Auch Malware könnte sich auf diese Weise verstecken.

Ab Firefox 3.6 beta 3 soll Firefox nur noch die eigenen, bekannten Komponenten aus dem Verzeichnis laden, alle anderen Komponenten wie Binaries und Skripte werden ignoriert. Damit bleibt Anbietern von Add-ons nur noch die offizielle Weg über den Add-on-Manager, um ihre Produkte in den Browser einzubinden. Ein Leitfaden soll Herstellern dabei helfen, ihre Raw Components auf reguläre Add-ons umzustellen. In der Beta 3 von Version 3.6 ist die Änderung erstmals wirksam.

Quelle : www.heise.de

[SiLæncer]

Firefox 3.6 beta 3 bringt im Unterverzeichnis compontents die Datei components.list mit, in der offenbar alle erlaubten DLLs und Skripte zusammengefasst sind. Zumindest mit Administratorrechten lässt sich die Liste ergänzen. Ob dies wirksam verhindern kann, dass Hersteller ihre Raw Components dort eintragen und somit den Add-on-Manager trotzdem umgehen können, müssen weitere Tests zeigen.

Quelle : www.heise.de

[SiLæncer]

Sicherheitsexperten haben in mehreren populären Firefox-Erweiterungen Sicherheitsprobleme gefunden. Sie warnen, dass der Einsatz von Plug-ins die Sicherheit des ganzen Systems in Frage stellen kann.

Ein Grund für die Beliebtheit von Firefox ist die Möglichkeit, den Browser über Add-ons zu erweitern. Manche wie NoScript erhöhen sogar die Sicherheit beim Surfen. Das grundsätzliche Problem ist jedoch, dass es keine definierte Grenze zwischen Browser und Add-ons gibt. Somit kann eine Sicherheitslücke in einer Firefox-Erweiterung das gesamte System kompromittieren.  Das wird noch durch die Tatsache begünstigt, dass die Entwickler von Add-ons dies häufig nur nebenbei als Hobby betreiben und in Security-Dingen weniger firm als die Browser-Entwickler sind.

Einem Bericht zufolge haben Sicherheitsexperten dieses Problem jetzt auf einer Konferenz in Indien aufgegriffen und unter anderem mit 0day-Exploits in mehreren beliebten Firefox-Erweiterungen demonstriert. Von kritischen Sicherheitslücken betroffen sind demnach die RSS-Reader Sage bis Version 1.4.3 und InfoRSS 1.1.4.2 sowie das Social Networking Add-on Yoono 6.1.1.

Quelle : www.heise.de