Mögliche Javascript-Schwachstelle in Firefox
Auf einer Hacker-Konferenz in San Diego haben Teilnehmer über eine Sicherheitslücke in Firefox berichtet, die sie entdeckt haben wollen. Sie weigern sich allerdings die Details an die Mozilla-Entwickler heraus zu geben.
Die Präsentation von Mischa Spiegelmock and Andrew Wbeelsoi auf der Toor-Con im kalifornischen San Diego offenbarte einige Details der Schwachstelle in der Javascript-Implementierung von Firefox. Es wird einerseits befürchtet, dabei könnten genug Einzelheiten veröffentlicht worden sein, um Angreifern den Nachbau eines Exploits zu ermöglichen. Andererseits könnten dieselben Details auch die Mozilla-Entwickler in die Lage versetzen, die Schwachstelle zu beseitigen.
Betroffen sollen alle Versionen von Firefox sein, sowohl unter Windows als auch unter Mac OS und Linux. Ebenso sollen alle anderen Mozilla-Browser, auch als historisch anzusehende, für diese Angriffsvariante anfällig sein.
Nach Aussage von Window Snyder, der neuen Sicherheitschefin von Mozilla, könnte es sich bei der Schwachstelle um eine Variante einer älteren Sicherheitslücke handeln. Die Mozilla-Entwickler würden sich der Sache annehmen. Wenn es sich um einen Fehler im Javascript-Modul handele, könne eine Beseitigung jedoch mehr Schwierigkeiten bereiten als bei anderen Schwachstellen.
Websites, die diese Sicherheitslücke bereits ausnutzen, sind bisher nicht bekannt. Als Schutzmaßnahme empfiehlt sich die kostenlos erhältliche Firefox-Erweiterung Noscript, die Javascript generell blockiert, jedoch für vom Anwender festlegbare Websites gestattet.
