Eine Schwachstelle in Firefox kann ausgenutzt werden.
Bereits kurz nach der Bereitstellung der neuen Firefox-Version 1.5.0.3, die eine Sicherheitslücke schließt, wurde eine neue Anfäligkeit gemeldet. Diese soll auch die neue Firefox-Version betreffen, konnte jedoch zunächst nicht nachvollzogen werden. Nun hat das Internet Storm Center
( ISC ) bestätigt, dass eine solche Schwachstelle existiert.
Der in der Vorwoche als Nachweis vorgeschlagene Exploit schien nicht oder nur unter bestimmten Umständen zu funktionieren. Inzwischen hat das ISC einen anderen Exploit erhalten, der nachvollziehbar klappt. Dabei werden mittels Javascript in einer Web-Seite viele "mailto:"-Links erzeugt. Diese stecken in IMG-Tags, also in HTML-Anweisungen, die eigentlich Bilder laden sollten.
Beim Aufruf einer solchen Seite werden die vermeintlichen Bilder geladen, was zum Öffnen zahlloser Mail-Fenster führen kann. Dadurch kann der Rechner soweit ausgelastet werden, dass er nicht mehr auf Benutzeraktionen reagiert oder gar abstürzt. Das kann im Einzelfall auch davon abhängen, welches Mail-Programm in Firefox als für mailto-Links zuständig eingetragen ist.
Als Workaround, also als Abhilfe gegen die Ausnutzung dieser Schwachstelle, kommen verschiedene Maßnahmen in Betracht. Sie können etwa Javascript komplett abschalten. Das hilft gegen viele Sicherheitslücken, führt jedoch zu Einschränkungen bei der Nutzung diverser Websites. Eine Alternative bietet die Firefox-Erweiterung
" Noscript ", die Javascript nur auf bestimmten Seiten zulässt, die Sie selbst festlegen.
Sie können auch eine Warnung beim Aufruf von mailto-Links aktivieren. Dazu müssen Sie in der Adresszeile von Firefox "about
:config" eintragen und aufrufen. Sie erhalten nun Zugriff auf eine Vielzhl von Konfigurationsoptionen, die nicht über "Extras, Einstellungen" erreichbar sind. Benutzen Sie das Eingabefeld "Filter" am oberen Rand und geben Sie dort "warn-external.mailto" ein. Als einzige Option bleibt dann "network.protocol-handler.warn-external.mailto" stehen, der Wert steht standardmäßig auf "false". Durch Anklicken mit der rechten Maustaste und Auswählen von "Umschalten" setzen Sie ihn auf "true".
Nun werden Sie beim Anklicken eines Mail-Links auf einer Web-Seite jedesmal gefragt, ob Sie den Aufruf des Mail-Programms erlauben wollen. Das führt bei dem oben genannten Exploit zwar dazu, dass Sie ziemlich viele solcher Bestätigungsdialoge erhalten. Es werden jedoch keine Mail-Fenster geöffnet und der Rechner bleibt benutzbar.
Noch radikaler ist die Maßnahme, mailto-Links gänzlich abzuschalten. Dazu geben Sie im Filterfeld bei about
:config "external.mailto" ein. Sie erhalten die Option "network.protocol-handler.external.mailto", die Sie wie oben von "false" auf "true" umschalten. Ab dann passiert beim Anklicken eines mailto-Links gar nichts mehr.
Beide Optionen können Sie auf die gleiche Weise auch wieder zurück setzen.
[i]greetz
Markus
i´d like to meet a madman who makes it all seem sane
[/i]