Wie das Mozilla-Team nachträglich bekannt gab, beseitigten die kürzlich veröffentlichten
Updates für Firefox und Seamonkey unter anderem auch eine kritische Sicherheitslücke, die erst durch einen
Patch im Dezember entstanden war. Der Versuch, einen
Fehler in der Behandlung von IMG-Tags zu beheben, eröffnete eine Möglichkeit, über javascript
:-URIs beliebigen Code auf dem System auszuführen – und zwar selbst dann, wenn der Anwender JavaScript eigentlich abgeschaltet hatte.
Somit hat der Patch nicht nur das Sicherheitsproblem nicht beseitigt, er hat die Situation sogar verschlimmert. Mit ähnlichen Problemen hatte Microsoft
2006 im Internet Explorer zu kämpfen.
Thunderbird-User sind noch einmal davongekommen. Der fehlerhafte Patch wurde dort zwar ebenfalls eingebaut, doch der Mail-Client führt keine javascript
:-URIs in IMG-Tags aus. In den im Februar veröffentlichten Versionen Firefox 2.0.0.2/1.5.0.10 und SeaMonkey 1.1.1/1.0.8 ist der Fehler behoben. Das Mozilla-Team empfiehlt ein Upgrade auf diese Versionen.
07.03.2007, 15:28
Mozilla patchte kritische Patch-Lücke
Linear-Darstellung
