.. UnART - Portal

[Yep]

...gefährdet Systemstabilität!

Ein Problem mit der aktuellen und früheren Version von Firefox macht derzeit von sich reden. Zahlreiche Verweise von Image-Source-Tags auf eine mailto-URI veranlassen das System, die mit Mail verknüpfte Anwendung beim Besuch einer Webseite ohne Nutzerinteraktion zu öffnen. Normalerweise sollte <img src=> einen Pfad zu einem Bild enthalten – eine mailto: hat dort eigentlich nichts zu suchen.

Ein bereits kursierender Exploit macht genau dies und ruft das Tag per JavaScript gleich 100-mal auf, sodass sich ebenso viele Thunderbird- oder Outlook-Fensterchen öffnen. Dass dies das System aus dem Tritt bringen kann, liegt nahe. Unter Umständen wird das System dadurch unbenutzbar. Bei einem Test der heise-Security-Redaktion verabschiedete sich allerdings nur Thunderbird nach dem hundertsten Fenster mit einer Fehlermeldung – der Windows-XP-PC mit nur 256 MByte Speicher lief anschließend stabil weiter.

Wer kein Risiko eingehen will, schaltet in Firefox das automatische Öffnen der Mail-Anwendung einfach ab. In der Adressleiste gibt man dazu about:config ein und stellt die Option warn-external.mailto auf true. Allerdings muss der Anwender dann 100-mal den Dialog wegklicken. Alternativ lässt sich der Aufruf von Mail-Programm durch Firefox abstellen, indem man network.protocol-handler.external.mailto auf false setzt.

Siehe dazu auch:

* Confirmed bug in Firefox 1.5.0.3, Bericht auf Securityreview
http://www.securityview.org/confirmed-b ... -1503.html
http://www.heise.de