- Werbung -

Auch wer als Web-Browser eigentlich nur den Firefox benutzen möchte, hat in aller Regel immer noch den Internet Explorer auf seinem Windows-Rechner installiert. Zum einen, weil es außerordentlich schwierig ist diesen loszuwerden, zum anderen aber auch, weil es Programme gibt, die ihn benötigen, um einwandfrei zu funktionieren. Dies kann zu einem ungewollten Sicherheitsproblem führen.

Ursache dieses Problems ist die Verarbeitung der URI

firefoxurl://

durch den Firefox. Diese URI startet eine neue Firefox-Instanz und zwar mit einer beliebigen Adresse. Übergibt man bei Aufruf dieser URI einen Parameter, der ein Anführungszeichen enthält, so ist es laut

Thor Larholm

möglich, zusätzlich Parameter für den Start des neuen Firefox zu übergeben. Damit ließe sich zum Beispiel über die Option

-chrome

Javascript im Kontext des als vertrauenswürdig eingestuften Chrome aufrufen - mit vollem Zugriff auf die lokalen Ressourcen des angegriffenen Rechners.



 

Um diesen Angriff durchzuführen, braucht es allerdings zusätzlich noch den Internet Explorer, da der Firefox den Aufruf einer derartigen URL nicht zulässt. Hier gibt es also offenbar einen Schutz vor solchen Zugriffen. Diesen Schutz bietet der Internet Explorer nicht. Ihm genügt es zu wissen, welches Programm er mit der URI

firefoxurl://

aufzurufen hat. Dies tut er auch mit dem entsprechend präparierten Parameter, so dass der Firefox nun Plugins lädt, beliebige Befehle ausführt oder andere Programme startet.



 

Eine

Demo dieser Lücke

liefert allerdings zumindest unter Firefox 2.0.0.6 zunächst nur einen Warnhinweis, dass eine externe Anwendung gestartet werden muss. In diesem Fall hätte der User noch die Möglichkeit, die Ausführung zu unterbinden.



 

Eine Möglichkeit zur Lösung des Problemes - ohne auf den Internet Explorer oder den Firefox zu verzichten - besteht darin, die Registrierung der URI zu löschen. Dazu gibt man in der Eingabeaufforderung von Windows die folgenden Befehle ein:



reg delete HKCR\FirefoxHTML /f
reg delete HKCR\FirefoxURL /f
reg delete HKCR\Firefox.URL /f


 

Eine andere Möglichkeit besteht in der Verwendung von

NoSript

. NoScript ist eine Firefox-Erweiterung, die die Ausführung von Java und Javascript auf vertrauenswürdige Domains beschränken kann.