0-Day-Lücke
Firefox-Exploit angeblich im Umlauf
Eine bislang noch nicht bekannte Sicherheitslücke soll in Firefox 3.6 stecken. Exploit-Code für diese Lücke soll bereits verfügbar sein, ein Sicherheits-Update für den Browser hingegen noch nicht.
Gerade erst haben die Mozilla-Entwickler neue Firefox-Versionen bereit gestellt, in denen sie eine Reihe von Sicherheitslücken beseitigt haben. Schon kommt die Meldung, ein russischer Forscher habe eine Schwachstelle in Firefox 3.6 entdeckt und einen Demo-Exploit erstellt. Mozilla hat die Anfälligkeit noch nicht bestätigt.
Evgeny Legerov, Gründer der russischen Firma Intevydis, hat den Exploit-Code nach eigenen Angaben als Modul in Vulndisco eingefügt, einem Zusatz für Immunity Canvas. Letztere ist eine kommerzielle Software für Penetrationstester, die zur Prüfung von Sicherheitsvorkehrungen in Netzwerken dient. Eine Meldung über seinen Befund an Mozilla hält er offenbar nicht für nötig.
Legerov gibt im Immunity Forum an, die Lücke betreffe Firefox 3.6 und sei unter Windows XP und Vista erfolgreich getestet worden. Es handele sich um die Ausnutzung eines provozierten Speicherüberlaufs, die nichts mit den kürzlich beseitigten Sicherheitslücken in Firefox 3.6, 3.5.8 und 3.0.18 zu tun habe. Sie ermögliche das Einschleusen und Ausführen von beliebigem Code.
Bislang sind also nur zahlende Kunden von Immunity im Besitz des Exploit-Codes. Bis dieser auch im Internet die Runde macht, ist wohl nur eine Frage der Zeit. Der dänische Sicherheitsdienstleister Secunia stuft die Lücke jedenfalls als "highly critical" ein.
