Re(2): Sicherheitslücke in Mozilla-Software

West — Wed, 27 Oct 2004 05:23:09 GMT

> danke ganz lieb........ist ja der ur schreckliche fehler im vergleich zum IE

hast recht muß man gleich wieder VMWare mit IE aufsetzen... will außerdem mal wieder ein Popup sehn, weiss scho garnimmer wie sowas aussieht :>

Re: Sicherheitslücke in Mozilla-Software

West — Wed, 27 Oct 2004 05:21:25 GMT

Ximian Evolution verwenden :p

Re: Sicherheitslücke in Mozilla-Software

Twist — Wed, 27 Oct 2004 05:07:57 GMT

danke ganz lieb........ist ja der ur schreckliche fehler im vergleich zum IE

Sicherheitslücke in Mozilla-Software

barbos — Wed, 27 Oct 2004 00:23:21 GMT

http://www.vnunet.de/Security/article.asp?ArticleID=20041026014

http://www.heise.de/security/news/meldung/52551

"Die Web- beziehungsweise E-Mail-Anwendungen Mozilla, Thunderbird und Firefox der Mozilla-Foundation legen unter Unix-Systemen temporär geöffnete Dateien mit den falschen Rechten ab, sodass jedermann mit gültigem Benutzerkonto darauf Zugriff hat. Laut einem Advisory tritt dieser Fall unter anderem in Thunderbird auf, wenn ein Anwender einen Dateianhang oder einen Link in einer Mail öffnet und beim folgenden Dialog "Öffnen mit" wählt.

Beispielsweise wird ein PDF-Dokument dann mit xpdf angezeigt. Dazu legt Thunderbird die komplette Kopie der Datei in /tmp mit Leserechten für alle ab. Ein gerade auf dem System, etwa per ssh, angemeldeter weiterer Anwender kann so ebenfalls die offenen Dokumente mitlesen, bis sie -- bei diesem Beispiel -- in xpdf wieder geschlossen werden.

Betroffen sind Mozilla 1.7 bis 1.7.3, Firefox 0.9 bis 1.0PR und Thunderbird 0.6 bis 0.8. Patches zum Beseitigen des Problems sind derzeit nur über die CVS-Repositories verfügbar. "