In Firefox 2.0.0.6 schließen die Entwickler ein kritisches Sicherheitsleck im Zusammenhang mit der URL-Übergabe an andere Programme. Da Leerzeichen und Anführungsstriche nicht kodiert wurden, konnte eine URL mit diesen Zeichen auch als URL mit zusätzlichen Argumenten interpretiert werden, wodurch Skriptcode hätte ausgeführt werden können.

Zudem war es unter Windows XP mit dem IE7 möglich, mithilfe von % und &00 in http- oder mailto-Links, nicht die dafür vorgesehenen, sondern beliebige Programme starten zu lassen. Das Problem liegt allerdings in der Windows-Shell-API, weshalb auch andere Programme als Firefox betoffen sind. Die Firefox-Entwickler empfehlen, die Sicherheitsabfrage vor dem Öffnen anderer Anwendungen zu aktivieren. Das geht über about:config ; dort wird in das Filter-Feld warn-external getippt und via Doppelklick die Sicherheitsabfrage für die Protokoll-Handler mailto, news, nntp und snews eingeschaltet.

 

Quelle: testticker.de