Mozilla bereitet Patch für Firefox-Addon-Lücke vor

Manfred Kohlen,
BrowserOpen SourceSicherheitSicherheitsmanagementSoftwareWorkspace

Mozilla hat das Leck in Firefox, das zunächst als harmlos gesehen wurde, auf kritisch hochgestuft. Der Fehler werde in Kürze als Teil von Firefox 2.0.0.12 behoben sein, heißt es im Mozilla-Security-Blog.

Die Schwachstelle, die offiziell als ?chrome protocol directory transversal? bezeichnet wurde, betrifft Plug-ins, die ihre Komponenten in mehreren Dateien statt nur einem einzelnen .jar-File speichern. Die Firefox-Funktion, mit dem sogenannten chrome protocol zum Austausch zischen diesen Komponenten umzugehen, war angreifbar – wurde der Fehler ausgenutzt, war es sogar möglich, Kontrolle übe den Rechner zu übernehmen (ursprünglichhieß es nur, man könne Daten ausspähen).

Die Lücke liege aber eigentlich gar nicht am Browser, sondern in der Art, wie die Add-ons programmiert sind, erklärt Mozillas Security-Chef Window Snyder. Eine ziemlich lange Liste Liste betroffener “Extensions” steht auf der Mozilla-Website bereit. Und man sollte als Programmierer von firefox-Extensions doch bitte das .jar-Packaging nutzen. (mk)

Lesen Sie auch :

Mozilla Firefox: Anwender sollen detaillierter über Tracking informiert werden

Firefox 66.0.4: neue Browser-Version beseitigt Add-On-Problem

Pwn2Own 2019: Hacker demonstrieren kritische Lücken in Apple Safari, VirtualBox und VMware
Manfred Kohlen
Autor: Manfred Kohlen
Anklicken um die Biografie des Autors zu lesen  Anklicken um die Biografie des Autors zu verbergen