Anwender von Firefox 1.5 und des Mozilla-Nachfolgers Seamonkey vor Version 1.0 sollten so bald wie möglich auf die vergangene Woche veröffentlichten Versionen wechseln. Darin sind insgesamt acht Schwachstellen beseitigt, für die nun auch der erste Exploit kursiert, der auf einem verwundbaren System eine über das Netzwerk erreichbare Shell öffnen soll. Der Exploit nutzt eine Lücke in der QueryInterface-Funktion aus, über die sich Code einschleusen lässt. Dazu reicht bereits der Aufruf einer präparierten Webseite aus. Der Exploit ist nach Angaben des Autors, H.D. Moore von Metasploit, für die Zielplattform Linux erstellt worden. Wie einfach sich damit jedoch auch ein Windows-Exploit bauen lässt, zeigt der Hintergrundartikel Exploits für alle auf heise Security.
Aufgrund der Veröffentlichung des Exploits hat die Mozilla Foundation das Risiko der Lücke gestern auch auf kritisch hochgestuft. Mozilla 1.7 und Firefox 1.0.x sind laut Security Advisory nicht von dem Problem betroffen. Allerdings ist die Lücke wohl auch in Thunderbird 1.5 zu finden, sofern JavaScript aktiviert ist. In der Standardkonfiguration ist dies aber nicht der Fall.
Für die zweite kritische Lücke in Firefox und Seamonkey gibt es zum Glück noch keinen Exploit. Zwar ist das Loch in Firefox 1.5.0.1 und Seamonkey 1.0 geschlossen, aber Firefox 1.0.8 lässt noch auf sich warten. Aus diesem Grund halten die Entwickler auch die Details zu der Lücke zurück – derzeit liegt auf dem dazugehörigen Bugzilla-Datenbankeintrag noch ein Embargo. Nur so viel verrät das Advisory: Die Funktion XULDocument.persist wertet einige Attributnamen nicht korrekt aus, sodass ein Angreifer mit präparierten Namen JavaScript-Code in die Datei localstore.rdf schreiben kann, in der etwa die Konfiguration der Browseroberfläche (Chrome) gespeichert ist. Diese wird bei jedem Browserstart gelesen und ausgeführt. Thunderbird ist grundsätzlich auch betroffen, allerdings nur, wenn JavaScript angeschaltet ist. Eine fehlerbereinigte Thunderbird-Version gibt es noch nicht.
Auch das Problem beim Aufruf von Seiten mit überlangen Namen soll nun nicht mehr auftreten: Beim Neustart blieb der Browser in jedem Fall komplett hängen, bis die Datei history.dat gelöscht wurde. Die restlichen fünf Lücken, zu denen die Mozilla Foundation ebenfalls Fehlerreports veröffentlicht hat, sind weniger kritisch, einige erlauben aber prinzipiell auch das Einschleusen und Ausführen von Schadcode. Der Großteil der Fehler wurde aber erst mit der Entwicklung von Firefox 1.5 und Seamonkey eingeführt.
QUELLE
