Thema: Schwachstellen in Firefox 2 und Internet Explorer 7

[SiLæncer]

Sowohl Microsoft als auch die Mozilla-Foundation scheinen bei der Entwicklung ihrer neuesten Browser nicht unbedingt darauf geachtet zu haben, alle bekannten Schwachstellen zu beseitigen. So ist etwa eine bereits seit Firefox 1.5.0.6 bekannte DoS-Lücke in der finalen Version von Firefox 2.0 nicht vollständig beseitigt. Auf einschlägigen Mailinglisten wurde aber schon bei der Herausgabe der Release Candidates hingewiesen, dass das Problem nicht behoben sei. Ein modifizierter Exploit für die alte Lücke führt zum Absturz von Firefox 2.0 und 1.5.0.7. Allerdings schlossen die Entwickler schon beim ersten Fix in der Version 1.5.0.7 nicht aus, dass die Lücke sich möglicherweise auch zum Einschleusen von Code ausnutzen lässt und stuften das Problem als kritisch ein.

Diese Einschätzung hat sich nun wohl geändert. Nach Meinung von Mozillas neuer Sicherheitschefin Window Snyder lässt sich der Fehler in Version 2.0 auf keinen Fall zum Einschleusen von Code ausnutzen. Ihrer Meinung nach handele es ohnehin nicht um den alten Fehler, der sei in der neuen Firefox-Version geschlossen. Warum dann der Exploit den gleichen Fehler ausnutzen kann, bleibt offen. Zudem führe der Fehler nur zum Crash, Anwender von Firefox seien nicht wirklich gefährdet, erklärte Snyder, vormals Senior Security Strategist bei Microsoft, gegenüber US-Medien. Allerdings wolle man der Sache noch einmal nachgehen.

Auch im Internet Explorer 7 sind nicht alle im Internet Explorer 6 bekannten Lücken beseitigt. So funktioniert immer noch ein Cross-Site-Scripting Angriff über manipulierte Bilder, in denen JavaScript versteckt ist. Diese Lücke ist seit September bekannt und liegt in der Art begründet, wie der Browser Header und Inhalte von Daten einliest. Ein Exploit demonstriert das Problem.

Bereits am Tage der Veröffentlichung der finalen Version des Internet Explorer 7 zeigte Secunia ein Problem im Browser auf, mit dem Angreifer Inhalte geöffneter Fenster ausspähen konnten – ein Problem das Microsoft schon sechs Monate bekannt war. Microsoft meinte dazu in einer Stellungnahme, das Problem sei weder im Internet Explorer 6 noch im Internet Explorer 7 zu suchen, obwohl die Schwachstellendemonstration diese Browser als Angriffsvektor nutzt. Schuld sei vielmehr eine Outlook-Express-Komponente in Windows; man untersuche die Angelegenheit noch.

Dazu gestellt sich eine Schwachstelle im Internet Explorer 7, die Phishern die Arbeit erleichtern könnte. So gelingt es Secunia in einer Demo durch einfaches Anhängen bestimmter Zeichen an eine URL, die angezeigte Adresse in der Adressleiste eines Pop-up-Fensters zu fälschen: In der Demo zeigt die Adressleiste www.microsoft.com an, obwohl der Inhalt von Secunia stammt.

Siehe dazu auch:

    * Flaw in Firefox 2.0 Final, Fehlerreport auf Bugtraq

Quelle und Links : http://www.heise.de/newsticker/meldung/80121

[SiLæncer]

Auf der Sicherheitsmailingliste Bugtraq werden derzeit die Auswirkungen einer neu entdeckten Lücke in Firefox 1.5.0.7 und 2.0 diskutiert. Der anonyme Entdecker der Lücke behauptet zwar, dass sich darüber auch prinzipiell Code über den Browser der Mozilla Foundation in einen Rechner einschleusen lässt, den Beweis ist er allerdings schuldig geblieben. Nach bisherigen Erkenntnissen beruht die neue Schwachstelle auf einer Null Pointer Dereference, also dem Folgen eines nicht initialisierten Zeigers, der ins Leere führt (Thou shalt not follow the Null pointer). In der Folge stürzt die Anwendung beim Erzeugen eines Range Object mit der Funktion createRange ab, was der veröffentlichte Proof-Of-Concept-Exploit auch demonstriert. Dazu genügt es beispielsweise, eine präparierte Webseite aufzurufen.

Analysen weiterer Sicherheitsspezialisten wollen allerdings ergeben haben, dass sich die Lücke auf keinen Fall zum Einschleusen von Code eignet. Nach Meinung des anonymen Entdeckers habe es aber Beispiele in der Vergangenheit gegeben, wonach sich auch Null-Pointer-Dereferenzierungen zum Kompromittieren eines Rechner ausnutzen ließen, so auch bei einer im April dieses Jahres bekannt gewordenen Lücke im Internet Explorer.

Auch Dan Veditz, Leiter der Mozilla Security Group, meldet sich hier zu Wort. Zwar sei das angeführte Beispiel richtig, allerdings ließ sich der Angriff beim IE so steuern, dass sich der Null-Pointer-Aufruf verhindern ließ, um doch Code einzuschleusen. Dies sei aber beim vorliegenden Fehler in Firefox 1.5.0.7 und 2.0 nicht der Fall. Ohnehin sei der Fehler laut Veditz bereits im Code für Firefox 3 gefixt. Wann es ein Update für 1.5.x und 2.0 geben wird, schreibt er leider nicht.

Siehe dazu auch:

    * Security Advisory vom US-CERT/NIST

Quelle und Links : http://www.heise.de/security/news/meldung/80349