Firefox lukker QuickTime-hul

Artiklen blev oprindeligt publiceret den 20/9/2007

Udviklerne af Firefox har lukket muligheden for at udnytte et sikkerhedshul i QuickTime via browseren.

Det skete med Firefox version 2.0.0.7, der kom for et par dage siden. Den nye version lukker et hul, som sikkerhedsforsker Petko D. Petkov offentliggjorde i sidste uge.

Sårbarheden ligger i Apples program QuickTime. Men den kan udnyttes via Firefox, idet QuickTime kan starte Firefox med kommandolinje-argumenter. Dermed var det muligt at starte skadelige programmer fra QuickTime via Firefox.

Rettelsen lukker hullet. Men det er stadig muligt for QuickTime at sende argumenter, som ikke starter et program, men for eksempel åbner en webside. "Quicktime Media-link-filer kan fortsat bruges til at genere brugere med pop-up-vinduer og dialogbokse, indtil problemet er rettet i QuickTime," skriver Mozillas udviklere i en beskrivelse af sårbarheden.

Links

• Mozillas beskrivelse af sårbarheden og rettelsen
• Sårbarhed i QuickTime rammer Firefox, artikel fra DK-CERT 14. september 2007