Exploit-Code veröffentlicht
DoS-Lücke in Firefox 3.6.12
In der aktuellen Firefox-Version 3.6.12 ist eine Sicherheitslücke entdeckt worden, die DoS-Angriffe übers Internet ermöglicht. Exploit-Code ist öffentlich verfügbar und bereits auf etlichen Seiten zu finden.
Eine Gruppe italienischer Sicherheitsforscher hat Exploit-Code für eine Sicherheitslücke in Firefox 3.6.12 veröffentlicht. Die Schwachstelle ermöglicht einen so genannten DoS-Angriff (Denial of Service) über das Internet, der Firefox zum Stillstand bringen kann.
Das Internet Storm Center weist in seinem Blog auf die Veröffentlichung hin. Stephen Hall gibt an, der Exploit-Code sei bereits auf verschiedenen Web-Seiten zu finden. Er zeigt auch einen Screenshot eines dadurch verursachten Firefox-Absturzes unter Mac OS X 10.6.5.
Die Schwachstelle basiert auf einem Überlauf eines Puffers, der durch 20.000-faches Schreiben eines Zeichens per Javascript in eine HTML-Seite provoziert werden kann. Firefox zeigt eine Warnmeldung über ein nicht mehr reagierendes Script an. Zu diesem Zeitpunkt kann der Anwender die Script-Ausführung vermeintlich noch stoppen. Doch der entsprechende Dialog, den Firefox anzeigt, führt nicht mehr zum gewünschten Ergebnis, Firefox ist nicht mehr benutzbar. Auch ältere Firefox-Versionen dürften betroffen sein.
Das Einschleusen und Ausführen von Code ist durch die Ausnutzung dieser Lücke wahrscheinlich nicht möglich. Der Exploit-Code ist von italienischen Mitgliedern der BackTrack-Gruppe entwickelt und veröffentlicht worden. Sie arbeiten an der Linux-Distribution BackTrack-Linux mit, einer Live-CD zur Analyse der Sicherheit von Rechnern und Netzwerken.
