[sadder]

Unsichere temporäre Dateien bei Mozilla, Firefox und Thunderbird

O. g. Web- bzw. E-Mail-Anwendungen legen unter Unix-Systemen temporär geöffnete Dateien mit den falschen Rechten ab. Somit kann jedermann mit gültigem Benutzerkonto darauf zugreifen.

Dies tritt, lt. einem Advosory, u. a. in Thunderbird auf, sobald ein Nutzer einen Dateianhang oder Link in einer Mail öffnet (Dialog: "Öffnen mit").

Ein PDF-Dokument wird dann z. B. mit xpdf angezeigt. Thunderbird legt dazu die komplette Kopie der Datei in /tmp mit Leserechten für alle Nutzer ab. Wer gerade auf dem System mit ssh angemeldet ist, kann so ebenfalls die offenen Dokumente mitlesen.

Betroffen sind Mozilla 1.7 bis 1.7.3, Firefox 0.9 bis 1.0PR und Thunderbird 0.6 bis 0.8. Patches zum Beseitigen des Problems sind derzeit nur über die CVS-Repositories verfügbar.

Quelle