Mozilla bereitet Patch für Firefox-Addon-Lücke vor

BrowserOpen SourceSicherheitSicherheitsmanagementSoftwareWorkspace

Der Open-Source-Browser Firefox wird “in Kürze” um eine kritische Schwachstelle erleichtert – kurz zuvor hatte man die Schwere der Gefahr hochgestuft.

Mozilla hat das Leck in Firefox, das zunächst als harmlos gesehen wurde, auf kritisch hochgestuft. Der Fehler werde in Kürze als Teil von Firefox 2.0.0.12 behoben sein, heißt es im Mozilla-Security-Blog.

Die Schwachstelle, die offiziell als ?chrome protocol directory transversal? bezeichnet wurde, betrifft Plug-ins, die ihre Komponenten in mehreren Dateien statt nur einem einzelnen .jar-File speichern. Die Firefox-Funktion, mit dem sogenannten chrome protocol zum Austausch zischen diesen Komponenten umzugehen, war angreifbar – wurde der Fehler ausgenutzt, war es sogar möglich, Kontrolle übe den Rechner zu übernehmen (ursprünglichhieß es nur, man könne Daten ausspähen).

Die Lücke liege aber eigentlich gar nicht am Browser, sondern in der Art, wie die Add-ons programmiert sind, erklärt Mozillas Security-Chef Window Snyder. Eine ziemlich lange Liste Liste betroffener “Extensions” steht auf der Mozilla-Website bereit. Und man sollte als Programmierer von firefox-Extensions doch bitte das .jar-Packaging nutzen. (mk)

Anklicken um die Biografie des Autors zu lesen  Anklicken um die Biografie des Autors zu verbergen