[News Flash]

Freunde des Internet-Explorers wird es freuen: Auch der Webbrowser Mozilla verfügt ab und an über kritische Sicherheitslücken. So wurde am 7. Juli ein Loch in Mozilla und Firefox entdeckt, das das beliebige Ausführen von Programmen erlaubt.

Kompletter Artikel: Mozilla: Schnelle Reaktion

Wenn ich daran denke, dass Sicherheitslöcher im M$IE, die schon Jahre bekannt sind, noch immer nicht gestopfen sind, und es neue Versionrn nur noch mit einem neuen Windows (also indirekt nur bezahlt) gibt, kann ich über die IE-User echt nur lachen... :biglol:

Tatsächlich ist dieses "Sicherheitsloch" ein weiteres von Windows.

Vorstellbar ist das ganze wie folgt:
Anwendungen können sog. Protocol-Schemes in Windows registrieren. Das sind etwa http:// ftp:// telnet:// ed2k:// oder etwa wie in diesem Fall shell://.
Das shell:// Scheme erlaubt es nun direkt auf die Shell zuzugreifen, sprich Dateien und Programme über einen solche URL auszuführen.

Mozilla arbeitet(e) so wie von Microsoft gefordert: Protokolle (Schemes) die es nicht selbst behandeln kann an Windows weitergeben.
shell:// wird nicht verarbeitet, also wird an Windows weitergegeben.
Dann führt Windows das Programm aus, das für das Protokoll registriert ist (etwa bei ed2k:// den muli).
shell:// ist windows-eigen und führ wie gesagt die Datei aus.

Der "Sicherheitspatch" von Mozilla verhindert einfach die Weitergabe über dieses Scheme, drum wird nun nichtsmehr ausgeführt.
Andere schemes wie vbscript:// u.a. werden schon seit langem wegen der Sicherheitsrisiken blockiert

BTW: Der InternetExplorer ist für genau den gleichen Angriff (wenn man das so nennen will) anfällig, wird aber vorraussichtlich erst mit dem SP2 für XP gefixt.

Weiter gibt es das shell:// Scheme erst ab 2000, also 98 ist zumindest in der Hinsicht save