In der neuen Release des 1.07 des Webbrowsers Firefox wurden viele Fehlerbereinigungen durchgeführt und eine kritische Lücke gestopft. Es wird empfohlen, schnellstmöglich auf die neueste Version umzustellen.

Die kritische Lücke in den Linux-Versionen ermöglich es dem Browsers, beim Programmaufruf von Firefox mit einer URL als Parameter beliebige Befehle auf der Shell auszuführen. Dieses Leck entsteht durch eine fehlerhafte Eingabeprüfung im aufgerufenen Script. Die in "`" eingebetteten Befehle in der URL können einfach ausgeführt werden. So können beispielsweise Mail-Clients Links in E-Mails auf diese Weise aufrufen, so dass ein Angreifer mit präparierten Mails Schaden anrichten könnte.

Obendrein fixen die Mozilla-Entwickler die Lücke beim Parsen internationaler Domain-Namen -- also Internetadressen mit Umlauten und anderen internationalen Sonderzeichen --, für die es bisher nur einen Workaround gab.

Bis jetzt findet sich auf den Mozilla-Servern nur die englische Fassung der neuen Release, in Kürze sollte sich aber auch das Download-Verzeichnis für die übersetzten Versionen füllen.

(rb, hannover)

(siehe auch Heise News-Ticker:)

Hannover · EDV-Beratung · Linux · Novell · Microsoft · Seminar · IT-Consult · Netzwerk · LPIC · CLE