58916

Firefox 1.5.0.2: Lücke führt zum Absturz

26.04.2006 | 16:01 Uhr |

Sicherheitsexperten warnen vor einer Sicherheitslücke in Firefox 1.5.0.2. Die zweite Lücke, die seit Erscheinen der neuen Version bekannt geworden ist. Dieses Mal ist Javascript schuld.

Die Sicherheitsexperten von Secunia warnen vor einer Sicherheitslücke in der kürzlich veröffentlichten Version 1.5.0.2 von Firefox. Die Schwäche könnten Angreifer nutzen, um Anwender auf eine speziell präparierte Website zu locken, die den Browser dann zum Absturz bringt und eventuell - im schlimmsten Fall - auch das Ablaufen beliebigen Codes ermöglicht.

Secunia selbst stuft die Lücke als "nicht kritisch" ein. Schuld an dem Absturz des Firefox ist ein Fehler beim Umgang von Javascript beim Aufruf von "contentWindows.focus()".Secunia empfiehlt vor dem Besuch einer nicht vertrauenswürdigen Website Javascript abzuschalten.

Auf Bugzilla von Mozilla ist die Lücke bereits seit vergangene Woche als Bug 334515 registriert. Ein Patch, der die Lücke schließen soll, wurde laut diesem Eintrag bereits entwickelt. Er ist aber noch nicht in den aktuell zum Download angebotenen Versionen von Firefox integriert worden. Eventuell geschieht dies erst beim Nachfolger von Firefox 1.5.0.2, der innerhalb der nächsten zwei Monate erscheinen wird.

Ein Proof-of-Concept für die Lücke existiert bereits. Auf dieser Website von Securident Technologies wird bewiesen, wie die Lücke dafür ausgenutzt werden kann, um Firefox zum Absturz zu bringen.

Bestätigt ist die Lücke für Firefox 1.5.0.2. Ältere Versionen könnten ebenfalls betroffen sein. Um zu überprüfen, ob der verwendete Browser betroffen ist, kann diese Website

http://www.securident.com/vuln/ffdos.htm

aufgerufen werden. Achtung: Firefox 1.5.0.2 stürzt beim Aufruf dieser Website ab!!!

Sicherheitslücke in Firefox 1.5.0.2 (PC-WELT Online, 18.04.2006)

Update jetzt: Firefox 1.5.0.2 & Firefox 1.0.8 sind erschienen (PC-WELT Online, 14.04.2006)

0 Kommentare zu diesem Artikel
58916