Mozilla und Microsoft gestehen Sicherheitslücke ein

[Kobolds|Eraser]

[align=center]

Es kommt relativ selten vor, dass sich die Firmen Mozilla und Microsoft einig sind. Doch bei einer neu entdeckten Sicherheitslücke, die den Internet Explorer und Firefox betrifft, gab es nahezu identische Stellungnahmen von beiden Unternehmen.

So weisen die Browser eine Sicherheitslücke auf, die es einem Angreifer ermöglicht, Dateien von dem betroffenen Rechner aus hochzuladen. So könnte er beispielsweise an persönliche Dokumente kommen. Doch einen Patch für dieses Problem wird es von beiden Herstellern vorerst nicht geben - erst in den neuen Versionen der Browser soll diese Lücke behoben werden.

Der Grund dafür ist folgender: Um diese Sicherheitslücke auszunutzen, muss der User selbst einen großen Teil der Arbeit des Hackers erledigen. Damit eine bestimmte Datei hochgeladen wird, muss der User den kompletten Pfad zu dieser Datei über seine Tastatur eingeben. Die Sicherheitslücke besteht darin, dass diese Eingaben in einem versteckten Feld geschehen und der Anwender deshalb nichts davon mitbekommt.

Da diese Lücke also nur in sehr bizarren Szenarios ausgenutzt werden kann, sehen beide Unternehmen keinen Grund, einen schnellen Patch zu entwickeln. Stattdessen wird das Problem in einer neuen Version der jeweiligen Software aus der Welt geschafft. Nicht betroffen ist der norwegische Browser Opera - hier tritt dieses Problem nicht auf. Neben Firefox sind auch alle anderen Applikationen aus dem Hause Mozilla betroffenn, beispielsweise die Mozilla Suite und SeaMonkey, egal welches Betriebssystem genutzt wird.

Quelle

Zitat @ secunia.com:
The vulnerability has been confirmed in version 1.5.0.4. Other versions may also be affected.

Solution:
Disable JavaScript support.
Do not enter suspicious text when visiting untrusted web sites.

[/align]