Version 1.03 von Firebug, einem leistungfähigen JavaScript-Debugger für Firefox, schließt eine Lücke, mit der sich Code im Chrome-Kontext, also mit den höchsten Zugriffsrechten, im Browser ausführen ließ. Dazu muss mit dem Debugger allerdings bösartiger JavaScript-Code geladen werden. Das kommt in der Regel selten vor, da das Firebug-Add-on in der Regel von Entwicklern benutzt wird, um eigene Programme zu kontrollieren. Analysiert man damit jedoch fremde Seiten, wie es unter anderem Sicherheitsspezialisten tun, kann es passieren, dass man Schadcode untergejubelt bekommt. Dazu reicht bereits der Besuch einer präparierten Seite mit aktiviertem Firebug aus.
Ursache des Problems ist laut Fehlerbericht die Möglichkeit, sich Meldungen mittels der Funktion console.log auf die Fehlerkonsole ausgeben zu lassen. Darüber ist es möglich, JavaScript in die Konsole zu schleusen und mit den Rechten von chrome auszuführen.
Siehe dazu auch:
* Firebug Goes Evil, Fehlerbericht von pdp ->
http://www.gnucitizen.org/blog/firebug-goes-evilQuelle :
www.heise.de
