Sind sowohl Internet Explorer als auch Firefox installiert, könnte der Rechner anfällig für einen Angriff sein. Die Fachwelt streitet noch darüber, wer für diese Sicherheitslücke verantwortlich ist.
Firefox registriert bei seiner Installation spezielle Protokolle wie "firefoxurl://". Wird ein solcher Aufruf in einem Browser eingegeben, übergibt dieser den Aufruf daher an Firefox. Wird der Aufruf in Firefox selbst eingegeben, warnt Firefox den Benutzer. Wie
Thor Larholm demonstriert, führt ein Aufruf im Internet Explorer dazu, dass Firefox keine Warnung ausgibt. Das lässt sich zumindest theoretisch ausnutzen, um einen Rechner anzugreifen, auf dem beide Browser installiert sind.
Das Kommando für Firefox lautet "FIREFOX.EXE -url "%1" -requestPending", wobei in "%1" die aufzurufende Adresse übergeben wird. Stecken darin Zeichen, die nicht ordnungsgemäß kodiert sind, könnte ein Angreifer zum Beispiel ein Kommandozeilenfenster öffnen oder beliebige Programme aufrufen, auch Javascript stünde zur Verfügung. Apples Safari für Windows kann in ähnlicher Weise ausgenutzt werden, um solche Aufrufe an Firefox zu senden, allerdings hat Apple den Fehler in Safari bereits ausgeräumt.
Das wirft die Frage auf, wer dieses Loch gegraben hat. Die einen argumentieren, Firefox sei der Schuldige, denn schließlich gäbe es diese Lücke ohne Firefox nicht. Andere, darunter der Entdecker Thor Larholm, kreiden dem IE an, dass er solche Aufrufe nicht überprüft, bevor er sie weiter reicht.
Mozillas Sicherheitschefin, Window Snyder, hat
bereits angekündigt, dass die Mozilla-Entwickler die Lücke mit der kommenden Version 2.0.0.5 stopfen werden. Möglicherweise seien jedoch auch andere Windows-Programme für einen Angriff dieser Art über den Internet Explorer anfällig.
Bislang sind keine Fälle bekannt, in denen dieser Angriffsvektor tatsächlich genutzt wird, obwohl Beispiel-Code öffentlich verfügbar ist. Neben einem funktionierenden Exploit ist es für einen erfolgreichen Angriff nötig, dass Firefox installiert ist, aber der IE benutzt wird. Wer Firefox installiert hat, wird ihn jedoch meist auch als Browser benutzen, ist also für Angriffe über den IE kaum empfänglich.
So schützen Sie Ihren PC
Wenn Sie nicht bis zur Bereitstellung von Firefox 2.0.0.5 warten wollen, können Sie Ihren Rechner schützen, indem Sie die anfällige Protokoll-Behandlung aus der Registry löschen. Fertigen Sie zunächst ein Backup der fraglichen Registry-Einträge an, indem Sie in einer Eingabeaufforderung (zum Beispiel über Start/Ausführen...) folgende Zeilen eingeben:
reg export HKCR\FirefoxHTML "%userprofile%\ffxhtml.reg"
reg export HKCR\FirefoxURL "%userprofile%\ffxurl.reg"
Erhalten Sie eine Bestätigung wie "Der Vorgang wurde erfolgreich ausgeführt.", löschen Sie dann die Einträge:
reg delete HKCR\FirefoxHTML /f
reg delete HKCR\FirefoxURL /f
Durch Doppelklick auf die exportierten REG-Dateien in Ihrem Benutzerprofil (meist C:\Dokumente und Einstellungen\Benutzername\) können Sie die Einträge später wieder importieren. Eine alternative Lösung ist die Installation der Firefox-Erweiterung "
Noscript", die bereits seit Ende Juni vor der Ausnutzung dieser Schwachstelle schützt.
Powered by: IDG Magazine Media GmbH/PC-Welt.de
)
