Firefox Quicktime sikkerheds problem lukket

Firefox Quicktime sikkerheds problem lukket

On his blog Petko D. Petkov reported that QuickTime Media-Link files contain a qtnext attribute that could be used on Windows systems to launch the default browser with arbitrary command-line options. When the default browser is Firefox 2.0.0.6 or earlier use of the -chrome option allowed a remote attacker to run script commands with the full privileges of the user. This could be used to install malware, steal local data, or otherwise corrupt the victim's computer.

The fix for MFSA 2007-23 was intended to prevent this type of attack but QuickTime calls the browser in an unexpected way that bypasses that fix. To protect Firefox users from this problem we have now eliminated the ability to run arbitrary script from the command-line. Other command-line options remain, however, and QuickTime Media-link files could still be used to annoy users with popup windows and dialogs until this issue is fixed in QuickTime.

This QuickTime issue appears to be the one described by CVE-2006-4965 but the fix Apple applied in QuickTime 7.1.5 does not prevent this version of the problem.

Workaround

Disabling JavaScript in the browser does not protect against this attack; in vulnerable versions scripts passed through the -chrome option would be executed regardless of the JavaScript setting for web content, much as interpreters for languages such as perl and Python execute scripts passed on the command line. The NoScript add-on, however, has provided protection against this class of attack since the cross-browser vulnerabilities described by MFSA 2007-23 were discovered. 

Fixed in: Firefox 2.0.0.7

 
Firefox 2.0.0.7

Link: Mozilla

Skrevet af axel den 20. Sep 2007. Nyheden er læst 1209 gang(e).

Del med dine venner

     

0 kommentarer
Skriv kommentar til nyheden Kommentarer til nyheden fra Facebook

 

ASUS ROG Maximus IX Formula

Endnu engang er Tweak.dk redaktionen på banen med et Z270 bundkort review fra ASUS' lan

Læs Mere

Dali Opticon 8

Den danske højttaler producent Dali, behøver vidst ingen videre præsentation. Vi har her på Twea

Læs Mere

Ozone EXON F60

Ozone som laver alverdens udstyr til gamere, har sendt os en af deres seneste mus, i form af deres EXON F60. Der er tale o

Læs Mere

LucidSound LS30

Vi har endnu engang LucidSound på testbænken, denne gang med deres lidt større model, LS30. LS30 er et

Læs Mere

Gamer mus X2 HARADA

Vi skal i denne test kigge nærmere på en producent som jeg personligt mener får for lidt opmærksom

Læs Mere

ASUS bundkort - ROG Strix Z270E og Z270F Gaming

Endnu engang tager vi fat i ASUS her på Tweak.dk redaktionen, når vi her i dag sk

Læs Mere

Blue & NiP Gaming Headset PC - Pro Gamer bundle

Blue har længe været kendt for deres mikrofoner, Snowball og Yeti der ikke koster en formue at komme i gang me

Læs Mere

Corsair musemåtte - Gaming MM300 Extended

Er din gamle musemåtte ved at være slidt, eller mangler du bare en ny en af slagsen? Så kunne dagens tes

Læs Mere

 

Nyeste Videoer og Trailers

Seneste nyheder

Tweak.dk forklarer: Hvad betyder de forskellige formfaktorer?

Tweak.dk kaster ofte om sig med forskellige form faktor begreber i vores anmeldelser, men hvad betyder de egen
Læs Mere

Sony tæt på 1 million solgte PSVR headsets efter 4 måneder

Sony Interactive Entertainments ’global chief executive’, Andrew House, havde fornyeligt et interview med New
Læs Mere

Ryzen kommer i denne uge, så Intel holder udsalg

Krigen om CPU priserne begynder (endnu engang) og med den kommende udgivelse af Ryzen, har Intel valgt at sætt
Læs Mere

Nokia 3310 er tilbage

Der er dog sket en del ændringer i forthold til den oprindelige udgave af den klassiske 3310. Men det legendar
Læs Mere

Apple klar med forbedring af deres Magic Mouse

Apples Magic Mouse har været genstand for kritik. Nu er der i samarbejde med virksomheden Elevation Lab blevet
Læs Mere

Netflix lancerer 'Sunlamp' til dit hjem

Netflix kommer til udsætning til alle os der har lange vintre, og godt kunne bruge noget mere lys. Med deres e
Læs Mere

Nyt online netværk vil livestream 'high-profile' retssager

Mediate grundlæggeren Dan Abrams planlægger at lancere et online netværk, hvis formål er at sende live fra ret
Læs Mere

Core count vs frequency, hvad er vigtigst i gaming?

Mens vi venter på Ryzens officielle udgivelse d. 2 marts, foregår der en meget interessant diskussion på forsk
Læs Mere
Indsend nyhed
Har du fundet en fed nyhed så indsend den så alle andre på Tweak.dk kan få glæde af den.