Auch wer als Web-Browser eigentlich nur den Firefox benutzen möchte, hat in aller Regel immer noch den Internet Explorer auf seinem Windows-Rechner installiert. Zum einen, weil es außerordentlich schwierig ist diesen loszuwerden, zum anderen aber auch, weil es Programme gibt, die ihn benötigen, um einwandfrei zu funktionieren. Dies kann zu einem ungewollten Sicherheitsproblem führen.
Ursache dieses Problems ist die Verarbeitung der URI
firefoxurl://
durch den Firefox. Diese URI startet eine neue Firefox-Instanz und zwar mit einer beliebigen Adresse. Übergibt man bei Aufruf dieser URI einen Parameter, der ein Anführungszeichen enthält, so ist es laut
Thor Larholm
möglich, zusätzlich Parameter für den Start des neuen Firefox zu übergeben. Damit ließe sich zum Beispiel über die Option
-chrome
Javascript im Kontext des als vertrauenswürdig eingestuften Chrome aufrufen - mit vollem Zugriff auf die lokalen Ressourcen des angegriffenen Rechners.
Um diesen Angriff durchzuführen, braucht es allerdings zusätzlich noch den Internet Explorer, da der Firefox den Aufruf einer derartigen URL nicht zulässt. Hier gibt es also offenbar einen Schutz vor solchen Zugriffen. Diesen Schutz bietet der Internet Explorer nicht. Ihm genügt es zu wissen, welches Programm er mit der URI
firefoxurl://
aufzurufen hat. Dies tut er auch mit dem entsprechend präparierten Parameter, so dass der Firefox nun Plugins lädt, beliebige Befehle ausführt oder andere Programme startet.
Eine
liefert allerdings zumindest unter Firefox 2.0.0.6 zunächst nur einen Warnhinweis, dass eine externe Anwendung gestartet werden muss. In diesem Fall hätte der User noch die Möglichkeit, die Ausführung zu unterbinden.
Eine Möglichkeit zur Lösung des Problemes - ohne auf den Internet Explorer oder den Firefox zu verzichten - besteht darin, die Registrierung der URI zu löschen. Dazu gibt man in der Eingabeaufforderung von Windows die folgenden Befehle ein:
reg delete HKCR\FirefoxHTML /f
reg delete HKCR\FirefoxURL /f
reg delete HKCR\Firefox.URL /f
Eine andere Möglichkeit besteht in der Verwendung von
. NoScript ist eine Firefox-Erweiterung, die die Ausführung von Java und Javascript auf vertrauenswürdige Domains beschränken kann.