Hacker

20.11.2009 17:21

Experten zeigen 0-Day-Exploits für Firefox-Addons

Hacker Im Rahmen der SecurityByte & OWASP AppSec Conference haben Sicherheitsexperten verschiedene Zero-Day-Exploits für mehrere Firefox-Erweiterungen vorgestellt. 'Net Security' spricht hierbei von teils weitreichenden Folgen.

Die beiden Sicherheitsexperten Roberto Suggi Liverani und Nick Freeman haben sich zu diesem Thema auf der Konferenz in Indien ausgelassen. Eine zentrale Problematik sei es, dass Mozilla keinen Sicherheitsmechanismus im Hinblick auf die eingesetzten Erweiterungen verwende.


Im Klartext bedeutet dies, dass der Firefox den Addons ohne Einschränkung vertraut. Hierbei soll es grundsätzlich möglich sein, dass eine Erweiterung eine andere Erweiterung verändern könnte. Bei den entdeckten Schwachstellen handle es sich um plattformunabhängige Lücken, die im schlimmsten Fall dazu verwenden werden könnten, um die vollständige Kontrolle über das System zu erlangen.

Von diesen Schwachstellen sind den Experten zufolge die Addons Sage 1.4.3, InfoRSS 1.1.4.2 und Yoono 6.1.1 sowie die jeweiligen älteren Versionen betroffen.

Erst kürzlich teilte die Web-Security-Firma Cenzic mit, dass die Hälfte der in den ersten sechs Monaten dieses Jahres gefundenen Browser-Sicherheitslücken auf das Konto des Mozilla-Browsers Firefox gehen.

Sebastian Gruber

Diese Nachricht empfehlen:
Diese Nachricht verlinken:
 
[o1] XMenMatrix am 20.11.09 17:31 Uhr
(+6
Da hätten wirs wieder: Je beliebter der Browser desto mehr Sicherheitslücken :)
 
[re:1] EL LOCO am 20.11.09 17:34 Uhr
(-1
@XMenMatrix: Nur dass in dem Fall der User eigentlich ja selbst für die Lücken verantwortlich ist. Andererseits kann er die Sicherheits-"Qualität" der Exploits nicht wirklich kennen.
 
[re:2] exqZ am 20.11.09 17:35 Uhr
 
@XMenMatrix: Das ist aber sehr speziell nur ein Firefox Problem. Aber gut das sich die Leute darübe Gedanken machen. Kann also nur besser werden^^
 
[re:3] TobiTobsen am 20.11.09 17:36 Uhr
(+2
@EL LOCO: So würde ich es nicht sagen. Es liegt definitiv an Mozilla. Denn der Browser sollte den Adons nie vertrauen und sie ähnlich wie Chrome es wohl auch vor hat in Sandboxen starten und ausführen.
Bearbeitet am 20.11.09 um 17:38 Uhr.
 
[re:4] Mad-Evil am 20.11.09 17:41 Uhr
(-1
@TobiTobsen: Na ja, - dann könnte man auch sagen, dass MS es gleich in seinem Windows verankern kann, dass nur zertifizierte Programme und Exploits ausgeführt werden können.


Alle Kommentare zu dieser News anzeigen

Schreiben Sie uns Ihre Meinung, bewerten Sie Kommentare oder diskutieren Sie mit anderen WinFuture.de Lesern!

Melden Sie sich jetzt kostenlos an
oder verwenden Sie Ihren bestehenden Zugang.

Neueste Downloads

Mehr Downloads

Verwandte Videos

Neue Nachrichten

Mehr Nachrichten

Beliebte Nachrichten

Videos

  • Neueste
  • Beliebte
  • Empfehlung
Mehr Videos

WinFuture Mobil

WinFuture.mbo QR-Code Auch Unterwegs bestens informiert!
Nachrichten und Kommentare auf
dem Smartphone lesen.
WinFuture.mobi

Folgt uns auf Twitter

WinFuture bei Twitter

Interessante Artikel & Testberichte

Meist kommentierte Nachrichten

Community

  • Neue Kommentare
  • Neue Mitglieder

WinFuture wird gehostet von Artfiles

Artfiles.de

Forum

Zum WinFuture Forum

TechNet Online

Security-Tipps

Inforeihe 'Secure Code': Neues zu Kryptographie und Data Protection API 02.02.2012
Kölscher Abend zu rechtlicher und technischer Sicherheit in der Cloud 17.01.2012
Seit zehn Jahren im Dienst der Sicherheit: Microsofts Trustworthy Computing feiert Jubiläum 13.01.2012
Microsoft-Sicherheitsupdates im Januar 11.01.2012
Sicherheitsupdates Januar 2012 10.01.2012
MSDN Magazin im Dezember 04.01.2012
Out of Band-Sicherheitsbulletin für ASP.NET veröffentlicht 29.12.2011
Ankündigung: Out-of-Band-Sicherheitsbulletin für ASP.NET 29.12.2011
[Update] Windows 7 (64-Bit-Version) & Apple Safari: Details zur Schwachstelle 23.12.2011
Microsoft-Sicherheitsupdates im Dezember 14.12.2011
Copyright 2012 & powered by TechNet
Schöpfen Sie Ihr Potenzial aus. Mit TechNet.