In der neuen Release des 1.07 des Webbrowsers Firefox wurden viele
Fehlerbereinigungen durchgeführt und eine kritische Lücke
gestopft. Es wird empfohlen, schnellstmöglich auf die neueste
Version umzustellen.
Die kritische Lücke in den Linux-Versionen ermöglich
es dem Browsers, beim Programmaufruf von Firefox mit einer URL als
Parameter beliebige Befehle auf der Shell auszuführen. Dieses
Leck entsteht durch eine fehlerhafte Eingabeprüfung im aufgerufenen
Script. Die in "`" eingebetteten Befehle in der URL können
einfach ausgeführt werden. So können beispielsweise Mail-Clients
Links in E-Mails auf diese Weise aufrufen, so dass ein Angreifer
mit präparierten Mails Schaden anrichten könnte.
Obendrein fixen die Mozilla-Entwickler die Lücke beim Parsen
internationaler Domain-Namen -- also Internetadressen mit Umlauten
und anderen internationalen Sonderzeichen --, für die es bisher
nur einen Workaround gab.
Bis jetzt findet sich auf den Mozilla-Servern nur die englische
Fassung der neuen Release, in Kürze sollte sich aber auch das
Download-Verzeichnis
für die übersetzten Versionen füllen.
(rb, hannover)
(siehe auch Heise
News-Ticker:)
Hannover · EDV-Beratung ·
Linux · Novell · Microsoft · Seminar ·
IT-Consult · Netzwerk · LPIC · CLE
|