Kritische Sicherheitslücke in Firefox bei XML Dateien

http://www.milw0rm.com/exploits/8285

Aus der winfuture-Quelle:

Zitat

Die Sicherheitslücke betrifft Landi zufolge sowohl Windows, als auch Linux und Mac OS. Bis zur Veröffentlichung von Firefox 3.0.8 in der kommenden Woche, raten die Entwickler den Anwendern, keine XML-Dateien von unbekannten Personen zu öffnen.

So ein Schwachsinn. Wie der POC zeigt, kann man das von jeder Webseite aus durchführen, man muss ja nur die XML-Datei samt Stylesheet via Iframe einbinden. Wenn schon, dann sollte die Empfehlung lauten, bis zum Erscheinen des Patches auf einen anderen Browser umzusteigen.

An der Stelle zeigt es sich auch wieder, wie wichtig es ist, sein Nutzerkonto über das OS einzuschränken.

Edit:
Der zugehörige Bugreport.
https://bugzilla.mozilla.org/show_bug.cgi?id=485217

Zitat von boardraider

An der Stelle zeigt es sich auch wieder, wie wichtig es ist, sein Nutzerkonto über das OS einzuschränken.

Allerdings können dann die eigenen Daten trotzdem weg sein. Lösungen für das Problem gibt es zwar allerdings ausschließlich für Linux.

Richtig, die Daten des Users sind trotzdem gefährdet. Insbesondere gilt das auch für das Fx-Profil, in das man bspw. über die Erweiterungsschnittstelle stark eingreifen kann.

Zitat von boardraider

Insbesondere gilt das auch für das Fx-Profil, in das man bspw. über die Erweiterungsschnittstelle stark eingreifen kann.

Das ist eigentlich genauso schwer oder einfach wie der Zugriff auf jeden anderen Ordner...
https://developer.mozilla.org/File_I%2f%2fO#…g_special_files

Ich bin mir jetzt nicht ganz sicher, ob du mich verstanden hast.

Wenn es einem Angreifer gelingt auf dem System mit den Rechten des Fx-Prozesses/Users Befehle auszuführen, dann kann er, soweit es die Rechte erlauben, beliebige Dateien bspw. im /home des Users manipulieren. Darunter fällt auch das gesamte Fx-Profil. Durch Manipulation an vorhandenen Erweiterungen oder das (verborgene) hinzufügen weiterer, ist er dann auch in der Lage das Verhalten des Fx (dessen eigentlicher Code außerhalb der Rechte liegen sollte) zu beeinflussen (Keylogger/PW-Stealer etc.).

Darauf wollte ich eigentlich hinaus.

Genau dass muss nicht zwangsläufig der Fall sein allerdings nur wenn man sich vorher entsprechend mit AppArmor/SELinux auseinander gesetzt hat.

Also bald neue Version!? :?

Ja, wahrscheinlich am 1. April [Blockierte Grafik: http://i16.tinypic.com/6pf0wvr.png].

Zitat von Coce

Ja, wahrscheinlich am 1. April [Blockierte Grafik: http://i16.tinypic.com/6pf0wvr.png].

Na hoffentlich wird das kein Aprilscherz. :wink:

Zitat von Estartu

Na hoffentlich wird das kein Aprilscherz. :wink:

Maerz, Maerz!

Zitat von Feuerfox

Maerz, Maerz!

März 2010 :lol:

http://hackademix.net/2009/03/26/loc…/#comment-11646

Zitat

Indeed the firefox guys got a poc of the vulnerability 6 months ago so it's not my fault

Zusätzlich:
https://bugzilla.mozilla.org/show_bug.cgi?id=460090

Zitat

Reported: 2008-10-15 11:59 PDT by Mike Rooney

https://bugzilla.mozilla.org/show_bug.cgi?id=460090#c8

Zitat

Comment #8 From Martin 2008-11-29 04:15:54 PDT

https://bugzilla.mozilla.org/show_bug.cgi?id=485217#c22

Zitat

for failing - over the course of four months - to navigate the review process to move one line of code up one space.

Wenigstens reagiert Mozilla zügig, wenn ihnen die Pistole auf der Brust sitzt. Wäre aber vermeidbar gewesen. Daraus lernen?

Hallo zusammen,

war auf der Suche im Internet nicht erfolgreich. Kann mir jemand von euch sagen, welcher Nightlybuild den Fehler schon behoben hat. Am besten eine Nightly vom 3.1b3/3.5b3.

Wie ich grade gehört habe, soll das Update schon heute kommen.

Liegt schon auf dem Server.

Update gerade erfolgt. Wie immer ohne Probleme.

Mozilla/5.0 (Windows; U; Windows NT 5.1; de; rv:1.9.0.8) Gecko/2009032609 Firefox/3.0.8

Hier auch!

Auch unter Ubuntu kam eben schon das Update.