Die neue Release 1.0.7 des beliebten Alternativ-Browsers Firefox stopft eine kritische Lücke in der Linux-Version und bessert weitere Fehler aus. Das Entwickler-Team rät zu einem umgehenden Update auf die neue Version des Browsers und stellt zugleich die englische Fassung bereit.
Durch die neu entdeckte Lücke in den Linux-Versionen des Browsers können beim Programmaufruf von Firefox mit einer URL als Parameter beliebige Befehle auf der Shell ausgeführt werden. Dieses Leck entsteht durch eine fehlerhafte Eingabeprüfung im aufgerufenen Script, wodurch mit “`” in die URL eingebettete Befehle ausgeführt werden. Beispielsweise Mail-Clients rufen Links in E-Mails derartig auf, sodass ein Angreifer mit präparierten Mails Schaden anrichten könnte.
via heise
