Wie gestern auf Full Disclosure gemeldet und heute vom Mozilla-Team bestätigt wurde gibt es ein Sicherheitsproblem unter Mozilla/Firefox/Thunderbird auf Microsoft-Betriebssystemen. Das Problem liegt in dem externen Protokollhandler für das shell-Objekt.
Ein Patch ist bereits verfügbar, in neuen Versionen (nichtly) ist das Problem auch bereits behoben.
Man kann dem Problem auch manuell zu Leibe rücken, in dem man
pref("network.protocol-handler.external.shell", false);
in der Config einträgt.
Andere Betriebssystem-Plattformen sind nicht betroffen.
xafford
Olaf19
