Firefox-Bug gewährt Fremden Zugriff auf Javascript-Dateien

Persönliche Informationen können ausgelesen werden

Über eine Schwachstelle im Browser Firefox^[1] können Fremde auf sämtliche Javascript-Dateien eines fremden Rechners zugreifen. Dies berichtet zumindest hiredhacker.com^[2]. In einer Demo zeigen die Blogger, wie eine präparierte Website die in einer Javascript-Datei namens all.js gespeicherten Daten des Mailprogramms Thunderbird ausliest. Darunter könnten zum Beispiel Name und E-Mail- oder physikalische Adresse sein.

Damit Hacker an die Dateien gelangen können, muss allerdings eine Firefox-Erweiterung^[3] installiert sein, die ihre Inhalte nicht als .jar-Archiv speichert. Dazu zählen die Download Statusbar^[4] und Greasemonkey^[5]. Zumindest für diese beide Erweiterungen gibt es mittlerweile Updates, die das Problem beheben.

Das Mozilla-Security-Team hat den Fehler mit der Dringlichkeit "niedrig" eingestuft^[6]. Eine genaue Untersuchung hat inzwischen begonnen.

Mozilla hat außerdem eine neue Vorabversion von Firefox 3 angekündigt: Beta 3 ist für den 4. Februar 2008 geplant. Die Veröffentlichung der Final haben die Programmierer für das erste Halbjahr 2008 vorgesehen.

URLs in diesem Artikel:
[1] = http://www.mozilla.com/en-US/firefox/
[2] = http://www.hiredhacker.com/2008/01/19/firefox-chrome-url-handling-directory-traversal/
[3] = https://addons.mozilla.org/de/firefox/
[4] = http://www.zdnet.de/downloads/prg/8/2/en10504082-wc.html
[5] = http://www.zdnet.de/downloads/prg/0/5/en10382405-wc.html
[6] = http://blog.mozilla.com/security/2008/01/22/chrome-protocol-directory-traversal/