Firefox-Browser weist die selbe Cursor-Sicherheitslücke auf wie der Internet Explorer

[Lemmi]

Sicherheitsexperte Alexander Sotirov hat Ende letzten Jahres das Cursor-Leck im Internet Explorer entdeckt. Gestern demonstrierte er, dass auch Firefox 2.0 ähnlich wie der Konkurrenzbrowser mit modifizierten ANI-Files angegriffen werden kann. Laut Sotirow erweist sich das Firefox-Leck als weitaus gravierender als beim IE: Während der Protected Mode beim IE eine Änderung von Systemfiles verhindere, gewähre Firefox vollen Dateizugriff. Die Demo von Sotirov widerlegt verschiedene Aussgagen – beispielsweise von Symantec –, wonach der Firefox-Browser vom Cursor-Leck nicht betroffen sei.
Während Microsoft gestern einen Patch für das Leck bereit gestellt hat, existiert für den Firefox-Browser bis anhin kein Gegenmittel.

[coocane]

Auf sowas muss man erstmal kommen: Veränderte Cursorfiles lassen Code über den Browser ausführen... man, wer denkt denn an sowas?

[intelkiller]

im prinzip lassen sich solche sicherheitslücken mit jeglicher art von dateien erreichen. auch noch script-code oder diverse andere selbstausführende datei-container, wie sie zB zur lizenz-verifizierung von *.jpeg, *.mpeg, *.wma und *.wmv eingesetzt werden, ermöglichen solche sicherheitslücken.