Mozilla hat heute für den Firefox Browser das Update auf Version 2.0.0.6 veröffentlicht, welches eine URI-Sicherheitslücke teilweise behebt, welche bei Firefox unter Window XP im Zusammenspiel mit dem Internet Explorer 7 auftritt. Diese Sicherheitslücke lässt zu, dass fremder Code auf Windows basierenden Rechnern ausgeführt werden kann. Das neue Firefox-Update 2.0.0.6 nun schränkt diese Sicherheitslücke teilweise ein, schließt diese jedoch nicht ganz. Soweit bisher bekannt ist, sind auch andere Programme von diesem Problem betroffen (z.B. Skype und Miranda), da der Fehler wohl in der Windows-Shell-API steckt.

In der zugehörigen Security Advisory auf der Mozilla Seite wird die von Billy Rios und Nate McFeters entdeckte Sicherheitslücke detaillierter formuliert. So tritt der Fehler bei Firefox nur dann auf, wenn der Browser unter Windows XP läuft und gleichzeitig der Internet Explorer 7 installiert ist. Dabei lassen sich URIs für bestimmte Protokolle wie „mailto:“ nutzen, um eine Applikation auf dem System des Nutzers zu öffnen. Dazu müssen die URIs mit „%00“ bzw. „%“ versehen werden, dann werden sie an einen Datei-Handler übergeben. So lassen sich Programme, deren Pfad bekannt ist, starten. Hinzu kommt erschwährend noch eine zweite Sicherheitslücke, durch die sich der aufgerufenen Applikation in begrenztem Rahmen Parameter übergeben lassen.

Eine manuelle Möglichkeit, die Fehler einzudämmen ist, Firefox beim Aufruf von mailto:-URIs fragen zu lassen. Dies lässt sich über „about:config“ einstellen. Dazu werden die Einträge „network.protocol-handler.warn-externa“ für die Protokolle mailto, news, nntp, und snews auf „true“ gesetzt.

Firefox aktualisiert automatisch auf die neue Version. Zum Download der Vollversion des Firefox Browsers 2.0.0.6. geht es hier.