78272

DoS-Schwachstelle in Firefox und Thunderbird

18.10.2005 | 12:41 Uhr |

Firefox, Mozilla und Thunderbird können mit simplem HTML-Code zum Einfrieren gebracht werden.

Die aktuellen Browser aus dem Hause Mozilla sind anfällig für DoS-Angriffe (Denial of Service). Auch das Mail-Programm Thunderbird weist diese Schwachstelle auf. In einer Meldung von Whitedust Security wird von einer Sicherheitslücke in den aktuellen Programmversionen berichtet, die mit fehlerhaftem HTML-Code ausgenutzt werden kann.

Bei dem Code-Beispiel handelt es sich um einen so genannten Proof-of-Concept (PoC, Nachweis der Machbarkeit), der dazu führt, dass die Software in eine Endlos-Schleife gerät und nicht mehr reagiert. Bei dem von der "Milw0rm"-Gruppe ausgetüftelten Angriff wird fehlerhaft verschachteltes HTML verwendet. Daher ist anzunehmen, dass der Fehler im HTML-Renderer "Gecko" zu suchen ist, der in allen betroffenen Mozilla-Programmen enthalten ist.

Im Grunde sind es zwei Angriffs-Varianten. In der ersten werden zwei HTML-Tags geöffnet und nicht wieder geschlossen. Hierbei geraten Firefox 1.0.7 und Mozilla 1.7.12 in eine Schleife ohne Ausgang, die CPU-Last steigt auf über 90 Prozent. Versucht man den Browser per Klick auf das Kreuz rechts oben zu schließen, meldet Windows, die Software reagiere nicht.

Die zweite Variante schreibt per Javascript einen ungültigen Aufruf einer CSS-Formatvorlage in die Seite, die ansonsten bis auf Kommentare leer ist. Bei der Verarbeitung dieser Seite stürzen Firefox und Mozilla sogar komplett ab - spätestens, wenn sie per Klick auf das Kreuz geschlossen werden sollen.

Betroffen sind zumindest die Windows-Versionen von Firefox bis einschließlich 1.0.7, Mozilla bis 1.7.12 sowie Thunderbird bis 1.0.7. Die Fehler sind den Entwicklern der Mozilla-Foundation schon seit einiger Zeit bekannt. Sie sind in den neueren Beta-Versionen, etwa in der Beta 2 von Firefox 1.5, bereits nicht mehr enthalten.

Ein erfolgreicher Angriff dieser Art stellt für sich allein noch keine Gefahr für die Sicherheit dar. Gelingt es jedoch gezielt zusätzlichen Programm-Code einzuschleusen, kann dieser unter Umständen ausgeführt werden. Allein wegen der hier beschriebenen Schwachpunkte zu einer Beta-Version von Firefox 1.5 zu wechseln, die möglicherweise ihre eigenen Problemstellen hat, scheint zurzeit nicht erforderlich.

0 Kommentare zu diesem Artikel
78272