Skip to content

Noch ein Googletool

Google wird hier wohl zum Dauerthema. ;-) Golem und auch einige andere Quellen berichten, dass besagte Suchmaschine einen neuen Service testet. Google Maps ist ein Dienst, mit dem man Reiserouten berechnen kann und einfach mal “mit dem Finger über die Landkarte” gehen kann. Momentan gibt es das nur für die USA. Aber sicher wird der Service bald ausgebaut.

Fehlerfox

In den letzten Tagen tauchten einige Veröffentlichungen bei Bugtraq bzw. Full-Disclosure zum Mozilla Firefox auf. Diese betrafen zum Teil auch andere Browser:

Probleme bei internationalisierten Domainnamen

Seit Anfang 2004 können URLs auch Sonderzeichen enthalten. Neben den deutschen Umlauten ist es auch möglich, griechische, arabische oder russische Buchstaben zu verwenden. Die Studenten Evgeniy Gabrilovich and Alex Gontmakher zeigten in ihrer Veröffentlichung “The homograph attack” bereits im Mai 2002, dass man mit kyrillischen Buchstaben URLs fälschen kann. Damals diente die URL von Microsoft zur Demonstration. In dieser Woche kam nun die Shmoo Group mit einem Advisory (siehe Demo auf http://www.shmoo.com/idn/, das auf Paypal abzielt.

Als Workaround für diese Schwachstelle kann man im Firefox in der Adressleiste about:config eingeben und dann nach network.enableIDN suchen. Ein Doppelklick darauf deaktiviert die Funktion. Allerdings muss dies bei jedem neuen Öffnen wieder gemacht werden. Die Entwickler von Mozilla arbeiten daran, eine ordentliche Lösung zu schaffen. Wie auch schon Kai Raven in “Firefox - IDN - 0 Info - 0 Transparenz” bemerkt, gibt es keinerlei Hinweise der Entwickler über die bestehende Schwachstelle. Gerade ein Projekt wie Mozilla muss Transparenz gegenüber seinen Nutzern bieten, sonst ist das anfängliche Vertrauen in den Browser schnell wieder verspielt.

Firetabbing, -dragging und -flashing
Michael Krax veröffentlichte gleich drei Schwachstellen. Bei der ersten geht es um das Anfassen und Verschieben von Objekten (Drag & Drop). Wenn man ein speziell präpariertes Bild auf den Desktop bewegt, wird auf einmal eine Batchdatei daraus. Diese kann dann vom Nutzer durch einen Doppelklick ausgeführt werden.
Die weiteren Lücken betreffen den JavaScriptManager und die Veränderung von Werten in der Konfiguration. Ich hoffe, diese werden ebenfalls in den nächsten Tagen gefixt.
cronjob