VulDB: Mozilla Firefox bis 1.0.3 IFRAME JavaScript URL Cross Site Scripting
Allgemein
scipID: 1464
Betroffen: Mozilla Firefox bis 1.0.3
Veröffentlicht: 08.05.2005 (john smith)
Risiko: 
problematisch
Beschreibung
Das Mozilla-Projekt versucht einen open-source Webbrowser zur Verfügung zu stellen. Der Mozilla Webbrowser erlangte seit der Veröffentlichung der ersten offiziellen Versionen immer mehr Akzeptanz, wobei das aktuelle Ziel der Entwickler ein Marktanteil von 10 % darstellt. Zwei Sicherheitslücken wurden publik, die sodann in der jüngsten Firefox-Version behoben wurden. So existiert ein Designfehler beim Umgang von JavaScript-URLs in IFRAMES. Ein Angreifer kann über Cross Site Scripting (XSS) erweiterte Rechte erlangen. Der Fehler wurde in Mozilla Firefox 1.0.4 behoben.
Eine Vielzahl an Sicherheitslücken prasselt auf das Mozilla-Projekt nieder. Keine gute Werbung, in der Tat – Obschon Mozilla immerwieder als Alternative zum beschmutzten Microsoft Internet Explorer empfohlen wird, wird voraussichtlich über längere Zeit auch das Mozilla-Pendant seine weisse Weste nicht sauber halten können. Es scheint, als müsse der sichere Webbrowser erst noch entwickelt werden, denn Mozilla bringt die gleichen (Kinder-)Krankheiten mit, wie auch schon viele vergleichbare Projekte zuvor.
Exploiting
Klasse: Cross Site Scripting
Lokal: Ja
Remote: Ja
Exploit: –
Milw0rm: –
Nessus: –
ATK: –
Gegenmassnahmen
Status: Es ist eine aktualisierte Software-Version verfügbar.
Bestätigung: http://www.mozilla.org/security/announce/mfsa2005-42.html
Massnahme: Ein Upgrade auf die aktuellste Software-Version durchführen.
Link: http://www.mozilla.org/products/firefox/
Snort: 3679 (WEB-CLIENT Firefox IFRAME src javascript code execution)
Pattern: IFRAME
Quellen
Advisory: http://secunia.com/advisories/15292/
CVE: CVE-2005-1476
OSVDB: –
Securityfocus: 13544
Secunia: 15292
X-Force: 20443
Securitytracker: 1013913
VUPEN: ADV-2005-0493
Securiteam: –
Tecchannel: –
Heise: –
smSS: –
Buchtipp: Marc Ruef, Marko Rogge, Uwe Velten und Wolfram Gieseke (2002), Hacking Intern – Angriffe, Strategien, Abwehr, Data Becker, ISBN 381582284X (amazon.de)
