Firefox: internes JavaScript missbrauchen

Posted on by

Firefox Logo

Mit einem entsprechend vorbereiteten Skript lässt sich auf ALLE internen Variablen von Firefox zugreifen. Damit sind auch alle JavaScript Variablen und Funktionen von installierten Plug-ins betroffen.

Mozilla sagt dazu, dass es ein non-issue (= nichts wichtiges) ist. Allerdings wird es von anderen Personen als Möglichkeit für Denial of Service Attacken und Lücke für den Zugriff auf persönliche Daten angesehen. Beispielsweise könnte man unter Einsatz von AJAX alle Daten auslesen und auf einem Server abspeichern. Oder schlimmeres.

Dieses “Problem” zu beheben könnte nicht so einfach sein, da die Firefox-Erweiterungen intern über das betroffene chrome-Protokoll kommunizieren.

Hier ein Beispielskript:



<script src="chrome://global/content/config.js"></script>

<script>

// dump it

function show_all() {

   var chrome = this;

   for (var i in chrome) {

       try {

           document.writeln(i + ' = ' + chrome[i] +'<br />');

    } catch(e) { }

  }

}

show_all();

</script>

Und hier die Liste mit allen JavaScript-Variablen auf die via chrome:// zugegriffen werden kann.

Quelle: The Hacker Webzine

This entry was posted in Web and tagged by Oliver. Bookmark the permalink.

About Oliver

IT Business Analyst with Bachelor in Business IT & Higher VET. Mac User. Likes cooking, reading, watching movies, flying kites, having a drink with friends, coding websites.

Comments are closed.