MÜNCHEN (COMPUTERWOCHE) - Secunia warnt vor gleich zwei "extrem kritischen" Sicherheitslecks im Open-Source-Browser Firefox von Mozilla. Das erste betrifft "Iframe"-Javascript-URLs, die nicht hinreichend gegen Ausführung im Kontext einer anderen Web-Adresse aus der Chronik/History geschützt sind. Damit könnte unter anderem eine bösartig programmierte Site Cookie-Informationen von zuvor besuchen Web-Seiten abgreifen und missbrauchen. Zum zweiten wird der Parameter "IconURL" in der Funktion "InstallTrigger.install()" nicht ausreichend überprüft, so dass ein Angreifer über eine bösartige JavaScript-URL beliebigen Javascript-Code mit erweiterten Rechten zur Ausführung bringen könnte.

Eine Kombination beider Techniken lässt sich nach Angaben der dänischen Sicherheitsexperten noch dazu missbrauchen, um auf einem angegriffenen System beliebigen Code ablaufen zu lassen. Exploit-Code sei bereits öffentlich zugänglich. Bis die Mozilla Foundation ein Update bereitstellt, empfiehlt Secunia, in Firefox JavaScript sowie die Möglichkeit der Software-Installation durch externe Websites zu deaktivieren. (tc)