Firefox Quicktime sikkerheds problem lukket

Firefox Quicktime sikkerheds problem lukket

On his blog Petko D. Petkov reported that QuickTime Media-Link files contain a qtnext attribute that could be used on Windows systems to launch the default browser with arbitrary command-line options. When the default browser is Firefox 2.0.0.6 or earlier use of the -chrome option allowed a remote attacker to run script commands with the full privileges of the user. This could be used to install malware, steal local data, or otherwise corrupt the victim's computer.

The fix for MFSA 2007-23 was intended to prevent this type of attack but QuickTime calls the browser in an unexpected way that bypasses that fix. To protect Firefox users from this problem we have now eliminated the ability to run arbitrary script from the command-line. Other command-line options remain, however, and QuickTime Media-link files could still be used to annoy users with popup windows and dialogs until this issue is fixed in QuickTime.

This QuickTime issue appears to be the one described by CVE-2006-4965 but the fix Apple applied in QuickTime 7.1.5 does not prevent this version of the problem.

Workaround

Disabling JavaScript in the browser does not protect against this attack; in vulnerable versions scripts passed through the -chrome option would be executed regardless of the JavaScript setting for web content, much as interpreters for languages such as perl and Python execute scripts passed on the command line. The NoScript add-on, however, has provided protection against this class of attack since the cross-browser vulnerabilities described by MFSA 2007-23 were discovered. 

Fixed in: Firefox 2.0.0.7

 
Firefox 2.0.0.7

Link: Mozilla

Skrevet af axel den 20. Sep 2007. Nyheden er læst 1286 gang(e).

Del med dine venner

     

0 kommentarer
Skriv kommentar til nyheden Kommentarer til nyheden fra Facebook

 

Antec Cube - Designed By Razer

Er du på udkig efter et high-end kabinet i Mini-ITX format, og måske samtidig lidt af en Razer fanboy, så

Læs Mere

Corsair HS50 Stereo Headset

Et stereo gaming headset uden en masse RGB lir og andre ligegyldige features? Det er netop hvad Corsair har skabt med dere

Læs Mere

MSI Z370 Gaming Pro Carbon AC - Coffee Lake bundkort fra MSI

Sammen med Intels nye 8 generation Coffee Lake processorer, som sammen med Z370 bundkortene skal danne fælles f

Læs Mere

ASRock B350 og X370 Gaming ITX/ac

Udvalget af specielt mindre bundkort til AM4 platformen har været lidt på den forsigtige side, da der ikke var

Læs Mere

Razer Basilisk FPS Gamer Mus

High-end optisk sensor med op til 16.000 DPI, Chroma RGB lys og programmerbare knapper, er blot nogle af de fede features

Læs Mere

ASUSTOR AS6302T NAS server

NAS er et område, som vi ikke kommer så tit omkring, selvom der faktisk er et k&a

Læs Mere

Creative Sound Blaster X AE-5 Lydkort

Creatives primære produktområde, er uden tvivl lydgrej på trods af at vi for nyligt også stiftede

Læs Mere

Cooler Master MWE Bronze 650 watt PSU

Strømforsyninger kommer i alle størrelser og afskygninger. I denne test skal vi hilse på en budget mod

Læs Mere

 

Nyeste Videoer og Trailers

Seneste nyheder

Nokia 2 ankommer snart til USA

USA er et yderst populært marked at udgive sine produkter i. Det har også HMD Global fundet ud af.
Læs Mere

Lenovo lancerer to nye tablets

De er måske ikke de bedste på markedet, men Lenovos to nye tablets har alligevel forudsætningerne for at blive
Læs Mere

EVGA GTX 1080 Ti K|NGP|N Hydro Copper på salgs hylden hos EVGA

Et meget strømlinet single-slot GTX 1080 Ti med vandblok og iCX, er sendt i handlen fra EVGA. Der er naturligv
Læs Mere

Asus ROG Strix GL702ZC bliver første Ryzen 7

I kølvandet på AMD Ryzen og RX Vega lanceringerne, er fokus vendt på de mobile kæmper. Ryzen integrationen i b
Læs Mere

Cooler Master MasterKeys MK750 Gaming Keyboard annonceret

Cooler Master melder et nyt gaming keyboard klar til deres konstant udvidelse af gaming tastaturer. Denne gang
Læs Mere

Sådan virker Apple Pay med Face ID

Apples iPhone X er som mange af Jer ved, udstyret med ansigtsgenkendelses softwaren, Face ID, som i den grad h
Læs Mere

OnePlus stopper produktionen af OnePlus 5

Med lanceringen af det nye smartphone flagskib, OnePlus 5T, som blev sendt på markedet i sidste uge, melder On
Læs Mere

The Punisher ude som tv-serie på Netflix

Hvis du i øjeblikket leder efter en ny tv-serie at kaste dig over, så kunne The Punisher på Netflix være den i
Læs Mere
Partner sider
Indsend nyhed
Har du fundet en fed nyhed så indsend den så alle andre på Tweak.dk kan få glæde af den.