Firefox Popup-Blocker erlaubt Dateizugriffe

Diskutiere Firefox Popup-Blocker erlaubt Dateizugriffe im IT-News Forum im Bereich IT-News; Ein Sicherheitsforscher hat eine Schwachstelle in Firefox entdeckt, die mit Hilfe des integrierten Popup-Blockers das Auslesen von beliebigen...
#1
Eric-Cartman

Eric-Cartman

Moderator
Threadstarter
Team
Dabei seit
22.06.2005
Beiträge
8.628
Alter
38
Ort
In Windows Nr. 10




Ein Sicherheitsforscher hat eine Schwachstelle in Firefox entdeckt, die mit Hilfe des integrierten Popup-Blockers das Auslesen von beliebigen lokal gespeicherten Dateien ermöglich kann.

Der polnische Sicherheitsforscher Michal Zalewski hat einmal mehr eine Sicherheitslücke im Browser Firefox gefunden. Durch Austricksen des in Firefox enthaltenen Popup-Blockers kann ein Angreifer Zugriff auf beliebige Dateien auf der Festplatte erlangen. Michal Zalewski ist bereits mehrfach mit der Entdeckung von Sicherheitslücken in Browsern wie dem Internet Explorer oder Firefox in Erscheinung getreten.

In diesem Fall geht es darum, lokal gespeicherte Dateien auszulesen. Normalerweise erlaubt Firefox aus gutem Grund Web-Seiten keine Zugriffe über das Dateiprotokoll "file:///". Somit sollte es einem Web-Server nicht möglich sein, auch nicht mit Hilfe von Javascript, lokale Dateien auf den Rechnern von Besuchern auszulesen. Michal Zalewski hat jedoch einen Weg gefunden, diese Einschränkung auszuhebeln.

Die Idee ist dabei, dass eine lokal gespeicherte HTML-Datei durchaus auf andere lokale Dateien zugreifen darf, denn hier greift das "Prinzip des gleichen Ursprungs". Das Problem ist jedoch, eine solche HTML-Datei einzuschleusen und aufzurufen. Zalewski nutzt hierzu den Popup-Blocker von Firefox. Durch Anklicken eines Links auf einer vorbereiteten Web-Seite wird der Download eines Server-Script angestoßen, dessen Ergebnis in einer Datei gespeichert wird.

Eine von der Web-Seite angezeigte Meldung muss nun den Besucher davon überzeugen ein Popup zu akzeptieren - etwa unter dem Vorwand, ein Media Player oder dergleichen müsse zum Abspielen eines Videos geöffnet werden. Durch Schwächen in der Art und Weise, wie Firefox die Namen temporärer Dateien pseudo-zufällig erzeugt, kann Zalewski den Namen der gespeicherten Datei ermitteln.

Sie wird nun im Kontext des lokalen Systems geöffnet und darf deshalb auf lokale Dateien zugreifen. In einem Demonstrationsbeispiel könnte dem Benutzer etwa der Inhalt einer lokalen Datei, deren Name bekannt ist (etwa c:\boot.ini) vom Web-Server angezeigt werden. Dies sollte eigentlich nicht möglich sein.

Zalewski gibt an, betroffen sei Firefox 1.5.0.9, über die 2.x-Versionen macht er keine Angaben. Von Seiten der Mozilla-Entwickler gibt es noch keine offizielle Stellungnahme. Die Fehlerdatenbank Bugzilla enthält bereits einen Eintrag dazu, einschließlich Zalewskis Beschreibung. Die Diskussion um die Behebung des Problems läuft, wann ein Update erscheinen wird, ist derzeit noch nicht abzusehen.

Quelle:IDG Magazine Verlag GmbH/PC-WELT Online
 
#2
Fireblade

Fireblade

Grüßt die Winboarder
Dabei seit
10.12.2004
Beiträge
19.623
Zalewski gibt an, betroffen sei Firefox 1.5.0.9, über die 2.x-Versionen macht er keine Angaben.
Na toll,ausgerechnet bei 1.5.0.9 :verysad
 
#3
Michel

Michel

Gallery / Moderator
Team
Dabei seit
09.11.2006
Beiträge
12.595
Alter
37
Ort
Wetterau
Brauchst nicht zu weinen, bei der Version 2.0 ist es bestimmt auch so. :flenn
 
#7
Fireblade

Fireblade

Grüßt die Winboarder
Dabei seit
10.12.2004
Beiträge
19.623
Ach übrigens Thema Browser.Schau mal hier was ich gerade entdeckt habe. :D
Werd ich nachher mal testen,wenn ich von der Arbeit komme.
 
#9
I

imaetz70

Dabei seit
07.12.2005
Beiträge
9.246
Alter
48
Ort
Hamburg
wenn FF nochmehr Nutzer findet, werden auch diverse Schwachstellen bekannt, die so vorher nicht bekannt waren, da die meisten User bisher den IE nutzen.
Da FF nunmehr weiter auf dem Vormarsch ist und den IE so langsam auf vielen PC's ablöst, werden wir wohl in der Zukunft auch viel von eventuellen Schwachsatellen lesen dürfen. So wie es bisher beim IE war, nur dass man nicht abschätzen kann derzeit, ob es genauso viele Schwachstellen gibt oder geben wird, wie der IE sie immer hatte. :)

War somit abzusehen, dass der FF immer mehr ins Rampenlicht rutscht und man sich über seine Schwachstellen offen schreibt.
 
#10
Fireblade

Fireblade

Grüßt die Winboarder
Dabei seit
10.12.2004
Beiträge
19.623
Da FF nunmehr weiter auf dem Vormarsch ist und den IE so langsam auf vielen PC's ablöst, werden wir wohl in der Zukunft auch viel von eventuellen Schwachsatellen lesen dürfen.
So doll auf dem Vormarsch ist er nicht mehr.Der IE wird immer noch bei weitem mehr genutzt als der FF.Der FF hat gerade mal ein Stück vom "Großen Kuchen".:D
 
#12
Fireblade

Fireblade

Grüßt die Winboarder
Dabei seit
10.12.2004
Beiträge
19.623
Ich glaub, ich steig demnächst komplett auf Opera um
Bin ich schon lange,verwende FF meist hier nur an einem Pc wenn ich bei WB bin.
Opera ist bei weitem schneller und finde ich mittlerweile besser als FF.
 
#13
W

Wanderfalke

Dabei seit
20.04.2005
Beiträge
652
Ort
Wien
Schwachstellen sind immer vorhanden, es kommt darauf an, wie schnell sie gefixed werden. Da hat MS bei weitem das nachsehen sowie glaub ich Opera?
 
Thema:

Firefox Popup-Blocker erlaubt Dateizugriffe

Firefox Popup-Blocker erlaubt Dateizugriffe - Ähnliche Themen

  • Firefox: zuletzt geöffnete Webseiten bei Neustart automatisch laden - so geht es

    Firefox: zuletzt geöffnete Webseiten bei Neustart automatisch laden - so geht es: In Firefox gibt es die Möglichkeit, bei einem Start des Browser die zuletzt verwendeten Internetseiten ohne weitere Bedienschritte zu öffnen. Wie...
  • Deinstalation von Mozilla Firefox von meinem Lenovo Ideapad 320

    Deinstalation von Mozilla Firefox von meinem Lenovo Ideapad 320: Hallo, ich versuche gerade Mozilla Firefox von meinem Lenovo Ideapad zu Deinstalieren ! Leider geht das nicht. Es öffnet sich nur ein Fenster mit...
  • Popup Killer für Firefox

    Popup Killer für Firefox: Tach Leute, welches Programm würdet Ihr Vorschlagen um lästige Werbungen zu Blockieren? Ich suche speziell für Werbungen die im Browser "aufgeht"...
  • firefox - bei start: IE popup

    firefox - bei start: IE popup: Hi immer wenn ich den Firefox neustarte, kommt ein nerviges popup von ad.firstsolutions.com es kommt nur wenn ich den FF komplett neustarte als...
  • Firefox Popup Blocker konfiguration

    Firefox Popup Blocker konfiguration: Gibt es bei Firefox so was wie bei Google popupblocker, bei dem man die STRG-Taste drückt, dann werden alle Popups der aktuellen Seite zugelassen...
  • Ähnliche Themen

    • Firefox: zuletzt geöffnete Webseiten bei Neustart automatisch laden - so geht es

      Firefox: zuletzt geöffnete Webseiten bei Neustart automatisch laden - so geht es: In Firefox gibt es die Möglichkeit, bei einem Start des Browser die zuletzt verwendeten Internetseiten ohne weitere Bedienschritte zu öffnen. Wie...
    • Deinstalation von Mozilla Firefox von meinem Lenovo Ideapad 320

      Deinstalation von Mozilla Firefox von meinem Lenovo Ideapad 320: Hallo, ich versuche gerade Mozilla Firefox von meinem Lenovo Ideapad zu Deinstalieren ! Leider geht das nicht. Es öffnet sich nur ein Fenster mit...
    • Popup Killer für Firefox

      Popup Killer für Firefox: Tach Leute, welches Programm würdet Ihr Vorschlagen um lästige Werbungen zu Blockieren? Ich suche speziell für Werbungen die im Browser "aufgeht"...
    • firefox - bei start: IE popup

      firefox - bei start: IE popup: Hi immer wenn ich den Firefox neustarte, kommt ein nerviges popup von ad.firstsolutions.com es kommt nur wenn ich den FF komplett neustarte als...
    • Firefox Popup Blocker konfiguration

      Firefox Popup Blocker konfiguration: Gibt es bei Firefox so was wie bei Google popupblocker, bei dem man die STRG-Taste drückt, dann werden alle Popups der aktuellen Seite zugelassen...
    Oben