VulDB: Mozilla Firefox bis 1.5.0.2 View Image erweiterte Leserechte
Allgemein
scipID: 2174
Betroffen: Mozilla Firefox bis 1.5.0.2
Veröffentlicht: 18.04.2006 (PSPFrenzy)
Risiko: 
problematisch
Beschreibung
Das Mozilla-Projekt versucht einen open-source Webbrowser zur Verfügung zu stellen. Der Mozilla Webbrowser erlangte seit der Veröffentlichung der ersten offiziellen Versionen immer mehr Akzeptanz und konnte sich so als solide Alternative zum Microsoft Internet Explorer etablieren. Einmal mehr wurden jedoch eine Vielzahl an neuen Schwachstellen – dieses Mal sind es insgesamt gar 21 Stück – in Firefox bekannt. Eine davon betrifft die Funktion "View Image", welche über das Kontext-Menü eines Bildes genutzt werden kann. Wird dies bei einem korrupten Bild getätigt, kann troztdem über die Webseite auf lokale Ressourcen zugegriffen werden. Technische Details oder ein Exploit zur Schwachstelle sind nicht bekannt. Das Problem wurde sowohl in den Versionen 1.0.8 sowie 1.5.0.2 von Mozilla Firefox behoben.
Ein Upgrade auf die jüngste Version ist aufgrund der Vielzahl in den letzten Wochen bekanntgewordenen Schwachstellen zwingend zu empfehlen. Und mittlerweile muss man klar sagen, dass die besagte "sichere Alternative", die durch den Firefox bereitgestellt werden hätte sollen, nichts mehr als heisse Luft ist. Die Vielzahl der immerwieder neu bekannt werdenden Schwachstellen steht denen des Microsoft Internet Explorers in keinster Weise nach. Es bleibt somit nach wie vor fragwürdig, ob Mozilla wirklich eine gute Ablösung darstellt oder ob nicht doch vielleicht lieber auf ein besseres Produkt mit soliderer Sicherheits-Vorgeschichte gewartet werden soll.
Exploiting
Klasse: Designfehler
Lokal: Ja
Remote: Ja
Exploit: –
Milw0rm: –
Nessus: 22676 (Name: [DSA1134] DSA-1134-1 mozilla-thunderbird
ATK: –
Gegenmassnahmen
Status: Es ist eine aktualisierte Software-Version verfügbar.
Bestätigung: https://bugzilla.mozilla.org/show_bug.cgi?id=334341
Massnahme: Ein Upgrade auf die aktuellste Software-Version durchführen.
Link: http://www.mozilla.com/firefox/
Snort: –
Pattern: –
Quellen
Advisory: https://bugzilla.mozilla.org/show_bug.cgi?id=334341
CVE: CVE-2006-1942
OSVDB: 24713
Securityfocus: 18228
Secunia: 21324
X-Force: 25925
Securitytracker: 1016202
VUPEN: ADV-2006-2106
Securiteam: –
Tecchannel: –
Heise: 72019
smSS: –
Buchtipp: Marc Ruef, Marko Rogge, Uwe Velten und Wolfram Gieseke (2002), Hacking Intern – Angriffe, Strategien, Abwehr, Data Becker, ISBN 381582284X (amazon.de)
