Sicherheitslücken sind traditionell eher Sache des MS Internet Explorer. Netz-Experten (und solche, die sich dafür halten) verwiesen bei solchen Gelegenheiten immer gerne auf die Überlegenheit der Mozilla-Suite und ihrer Abkömmlinge. Doch auch die Open-Source-Projekte sind nicht unverwundbar, wie eine jüngst bekannt gewordene Sicherheitslücke beweist.
Die Tücke liegt im System: Eine Funktion in Windows XP erlaubt Angreifern, über den Browser Programmcode auf dem fremden System auszuführen. In Mozilla sowie den Standalone-Programmen Firefox und Thunderbird ist diese Funktion nicht deaktiviert. Die Mozilla Foundation nimmt die Sache ernst und hat sich entschlossen, die Funktion zu deaktivieren. Inzwischen stehen entsprechende
Patches zum Download bereit. Microsoft wird das Problem erst mit Service Pack 2 für XP beheben.
Die Sicherheitslücke erlaubt Angreifern, über einen Link oder Meta-Tag Code auf dem System des ahnungslosen Opfers auszuführen. Über die Web-Adresse (Uniform Resource Identifier oder URI) wird eine Shell-Funktion aufgerufen, die Programme auf dem Zielrechner ausführen kann. Damit wird es zum Beispiel möglich, bekannte Windows-Komponenten aufzurufen und einen Buffer Overflow zu provozieren.
Mit zunehmender Popularität der Mozilla-Produkte werden auch die Versuche zunehmen, Sicherheitsrisiken und Programmfehler der Browser-Familie auszunutzen. Der Internet Explorer wird zwar noch eine Weile die einsame Spitze in Sachen Sicherheitsproblemen bilden, aber auch bei der Mozilla Foundation wird es in Zukunft das ein oder andere Problem zu Patchen geben.
Volker Briegleb
Meldung empfehlen
News
