VulDB: Mozilla Firefox 2.0.0.1 "locations.hostname" DOM Property Handling
Allgemein
scipID: 2943
Betroffen: Firefox <= 2.0.0.1
Veröffentlicht: 15.02.2007 (Michal Zalewski)
Risiko: 
kritisch
Beschreibung
Mozilla Firefox ist ein aus dem Mozilla-Projekt hervorgegangener freier Webbrowser. Firefox erfreut sich seit seiner Geburt in 2002 stets wachsender Beliebtheit und stellt heute den grössten Konkurrent zu Microsofts Internet Explorer dar. Michael Zalewski beschreibt einen Fehler in der Art und Weise, wie Firefox die DOM Eigenschaft location.hostname behandelt. Mit Hilfe eines Null-Bytes können so z.B. Cookies fremder Seiten manipuliert werden, was eine Vielzahl von Angriffen ermöglicht.
Firefox wurde lange als "sicherer" Konkurrent des Internet Explorer gehandelt. Ein Blick auf die Verwundbarkeiten der letzten Monate zeigt aber, dass beide Browser nicht vor Angriffen mit teils verheerenden Folgen gefeit sind. Der vorliegende Fehler gibt Angreifern eine weitere Möglichkeit in die Hand, an sich solide implementierte Sicherheitsmechanismen elegant zu umgehen um so eine Vielzahl von Angriffen zu realisieren. Ein Patch ist in Kürze zu erwarten, bis dahin empfiehlt sich das Abschalten von Javascript oder die Verwendung eines regulierenden Addons wie z.B. NoScript.
Exploiting
Klasse: Unbekannt
Lokal: Ja
Remote: Ja
Exploit: http://lists.grok.org.uk/pipermail/full-disclosure/2007-February/052447.html
Milw0rm: –
Nessus: –
ATK: –
Gegenmassnahmen
Status: Hersteller arbeitet an einer Lösung.
Bestätigung: https://bugzilla.mozilla.org/show_bug.cgi?id=370445
Massnahme: Ein Upgrade auf die aktuellste Software-Version durchführen.
Link: –
Snort: –
Pattern: –
Quellen
Advisory: https://bugzilla.mozilla.org/show_bug.cgi?id=370445
CVE: CVE-2007-0981
OSVDB: 32104
Securityfocus: 22566
Secunia: 24175
X-Force: 32533
Securitytracker: 1017654
VUPEN: ADV-2007-0624
Securiteam: –
Tecchannel: –
Heise: –
smSS: –
Buchtipp: Joel Scambray und Stuart McClure (2002), Das Anti-Hacker-Buch für Windows, mitp, ISBN 3826608232 (amazon.de)
