« |
»
Wieder Sicherheitsluecke in Firefox
Newswatcher | 14 November, 2007 09:49
Trotz der vielen Propaganda, die Firefox in den Himmel lobt: es gibt diverse Sicherheitsluecken, die man kennen sollte, wenn man diesen Browser benutzt. Jetzt wurde eine neue entdeckt, eine Schwachstelle beim Zugriff auf Java Archive laesst sich für Cross-Site-Scriptings ausnutzen. Wie die Sicherheitsexperten von Secunia und das US-CERT melden, laesst sich Firefox austricksen, um eine Webseite im Kontext einer anderen Site aufzurufen. Das Problem liegt im Protocol Handler jar:, ueber den auf Dateien in Java Archiven zugegriffen werden kann.
Die URL jar:http://example.com/test.jar!/t.htm oeffnet beispielsweise die Datei t.html aus dem unter example.com abgelegten test.jar-Archiv. Das reicht zumindest um einige Javascript-Filter zu umgehen. Schafft es ein Angreifer, ein manipuliertes JAR-Archiv auf einem anderen Server zu platzieren, und ein Anwender klickt den Link dorthin an, kann der Fehler für Cross-Site-Scritpings ausgenutzt werden.