Letzte Woche hatten die Mozilla-Entwickler die URI-Lücke im
Zusammenspiel zwischen Firefox und Internet Explorer 7 begrenzt, folgt nun auch
eine Version von Thunderbird. Die Sicherheitslücke erlaubt es Dritten,
Applikationen auf fremden Rechnern zu starten und ist nicht auf die
Mozilla-Produkte beschränkt.
Die Sicherheitslücke die unter Window XP im Zusammenspiel
mit dem Internet Explorer 7 auftritt, erlaubt es, fremden Code auf
Windows-Rechnern auszuführen. Dabei kommen zwei Sicherheitslücken zusammen. Das
eine von Billy Rios und Nate McFeters entdeckte Problem: URIs für
bestimmte Protokolle lassen sich nutzen um eine Applikation auf dem System des
Nutzers zu öffnen, je nach angegebener Datei-Endung. Dazu müssen die URIs mit
"%00" bzw. "%" versehen werden, dann werden sie an einen
Datei-Handler übergeben. So lassen sich Programme, deren Pfad bekannt ist,
starten.
Das Problem tritt dann auf, wenn URIs für Protokolle in einer Applikation
aufgerufen werden, die für diese nicht zuständig ist und sie stattdessen an
eine andere übergibt. Bei Firefox ist dies beispielsweise "mailto",
was eigentlich den E-Mail-Client aufrufen sollte, bei zum Beispiel Thunderbird
"http".
Zusätzlich gefährlich wird dies durch eine zweite von Jesper Johansson entdeckte Lücke, durch die sich der
aufgerufenen Applikation in begrenztem Rahmen Parameter übergeben lassen.
Firefox 2.0.0.6 und nun auch Thunderbird 2.0.0.6 sollen die bisher bekannten
Möglichkeiten, eine dieser Sicherheitslücke zu nutzen, beseitigen – das
eigentliche Problem bleibt aber bestehen, so die Mozilla-Entwickler. Das
problematische Verhalten sei Teil des Windows-Shell-API und daher auch andere
Internet-Applikationen neben Firefox betroffen. Heise
Security dokumentiert die Probleme bei der URI-Übergabe auch bei Skype und
Miranda.
Die neue Version von
Thunderbird 2.0.0.6 steht ab sofort unter mozilla.com
zum Download bereit.
Windows:
http://www.mozilla.com/products/download.html?product=thunderbird-2.0.0.6&os=win&lang=de
Details zu den Änderungen finden sich in den Release Notes:
MFSA 2007-27 Unescaped URIs passed to external
programs
MFSA 2007-26 Privilege escalation through
chrome-loaded about:blank windows