Im Webbrowser Firefox sind zwei neue, als "hoch kritisch" eingestufte Sicherheitslücken aufgetaucht. Wie unsere Schwesterpublikation tecCHANNEL berichtet, erlaubt es eine Kombination der beiden Löcher, beliebigen Code auf dem Rechner des Nutzers auszuführen. Mittlerweile hat das Mozilla-Team den Fehler auf der Server-Seite behoben. Ein Update für den Client auf die Version 1.0.4 steht allerdings noch aus. Es soll im Laufe der Woche fertig sein. Bis es so weit ist, können sich Anwender nur dadurch schützen, dass sie JavaScript deaktivieren.
Betroffen ist die Funktion zum Updaten des Browsers und zum Installieren von Add-ons. Kombiniert der Angreifer eine Lücke im JavaScript "Iframe" und eine im Parameter "IconURL" in "InstallTrigger.install()", kann er beliebigen Code auf dem System installieren und ausführen. Der Angreifer muss einen Benutzer allerdings dazu bringen, dass er einer speziell präparierten Seite erlaubt, Software zu installieren. (haf)