Wie das Mozilla-Team erst nachträglich bekannt gab, beseitigten die kürzlich veröffentlichten Updates für Firefox und Seamonkey unter anderem auch eine kritische Sicherheitslücke, die erst durch einen Patch im Dezember entstanden war. Der Versuch, einen Fehler in der Behandlung von IMG-Tags zu beheben, eröffnete eine Möglichkeit, über javascript:-URIs beliebigen Code auf dem System auszuführen – und zwar selbst dann, wenn der Anwender JavaScript eigentlich abgeschaltet hatte.
Somit hat der Patch nicht nur das Sicherheitsproblem nicht beseitigt, er hat die Situation sogar verschlimmert. Mit ähnlichen Problemen hatte Microsoft 2006 im Internet Explorer zu kämpfen.
Thunderbird-User sind noch einmal davongekommen. Der fehlerhafte Patch wurde dort zwar ebenfalls eingebaut, doch der Mail-Client führt keine javascript:-URIs in IMG-Tags aus. In den im Februar veröffentlichten Versionen Firefox 2.0.0.2/1.5.0.10 und SeaMonkey 1.1.1/1.0.8 ist der Fehler behoben. Das Mozilla-Team empfiehlt ein Upgrade auf diese Versionen.
Siehe dazu auch:
* Sicherheitsnotiz des Mozilla-Teams -
http://www.mozilla.org/security/announce/2007/mfsa2007-09.htmlQuelle :
www.heise.de
