FirefoxURL:// und IE ermöglichen ausführen von lokalem Code.

  • Zitat

    Zudem hat Secunia herausgefunden, dass eine präparierte URI nicht die Zeichenfolge %00 enthalten muss, es genügt, wenn nur ein Prozentzeichen dort zu finden ist: mailto:test%../../../../windows/system32/calc.exe".cmd. Demzufolge wäre der von den Firefox-Entwicklern erstellte Patch wirkungslos, da er nach %00 in URIs sucht, um sie zu blockieren.


    Allerdings:

    Zitat

    Einzig Secunia ist nach selbst angestellten Analysen der Meinung, dass der Fehler in Windows zu finden sei. ;)


    Quelle: http://www.heise.de/newsticker/meldung/93455

  • Zitat von Global Associate


    Die Seite Secunia werde ich nicht mehr anklicken, da dann (im Fx) nichts mehr geht.....


    Kann ich nicht nachvollziehen. Die Seite steuere ich öfter an und es gab noch nie ein Problem.

    Zitat von Global Associate

    Muß tatsächlich am BS XP liegen...*ärger*


    Mhmm, nur weil Du öfter nicht auf deren Seite kommst? Weniger.

  • hmm, das Problem mit Secunia kann ich auch nicht nachvollziehen, funktioniert nach wie vor problemlos. Die (Browser)Geschichte als solche ist ansich recht interessant, teilweise sogar spannend - wenn man sie als passiver Zuschauer betrachten würde. Dem ist aber nicht so, der Fux ist nun mal Standardbrowser (und wird es auch bleiben) und im Hintergrund schlummert der IE (leider für einige firmeninterne Anwendungen notwendig). Also vorerst zumindest die Aufmerksamkeit erhöhen ...

    @yello
    du hast aber gesehen, das die Schose für WinXP SP2 "gestrickt" wurde, nicht für Vista ;o)

    Firefox/2.0.0.5, WinXP prof SP2

    "information is not knowledge. knowledge is not wisdom. wisdom is not truth. truth is not beauty. beauty is not love. love is not music. Music is THE BEST..." FZ

  • . . . es wird nicht "unspannender", secunia scheint auf der richtigen Fährte zu sein. Skype verhält sich wie der Fux, wenn parallel IE7 läuft. Das unangenehme dabei: wenn M$ in der Pflicht ist, kann der (aus meiner Sicht) unhaltbare Zustand noch `ne Weile andauern . . .

    schöne Woche noch

    Firefox/2.0.0.5, WinXP prof SP2

    "information is not knowledge. knowledge is not wisdom. wisdom is not truth. truth is not beauty. beauty is not love. love is not music. Music is THE BEST..." FZ

  • Zitat von Ferkeldieb

    . . . es wird nicht "unspannender", secunia scheint auf der richtigen Fährte zu sein. Skype verhält sich wie der Fux, wenn parallel IE7 läuft. Das unangenehme dabei: wenn M$ in der Pflicht ist, kann der (aus meiner Sicht) unhaltbare Zustand noch `ne Weile andauern . . .


    Na, dass Secunia da schon länger recht hatte, war mir seit der ersten Fehlerbeschreibung klar. Was soll das denn bitte mit Firefox zu tun haben, wenn das Gleiche passiert, wenn man den "bösen" Link einfach ins Ausführen-Fenster kopiert?

    Quis custodit custodes?