61464

Neue Schwachstelle in Firefox

12.09.2005 | 14:23 Uhr |

Mozilla-basierte Browser weisen einen Schwachpunkt bei der Behandlung internatonaler Domain-Namen auf.

Eine Funktion in Mozilla und Firefox, die eigentlich zur Behandlung internationaler Domain-Namen (IDN) gedacht ist, lässt sich dazu missbrauchen den Browser zum Absturz zu bringen. Möglicherweise kann dadurch auch zusätzlicher Code eingeschleust und ausgeführt werden. Diesen Fehler hat Tom Ferris entdeckt, der kürzlich bereits auf eine Sicherheitslücke im Internet Explorer aufmerksam machte ( wir berichteten ).

Betroffen sollen alle Versionen von Mozilla und Firefox sein, einschließlich der kürzlich freigegebenen Beta 1 von Firefox 1.5 ("Deer Park"), auch unter Linux. Das Problem ist laut Ferris ein Fehler in der Behandlungsroutine für internationale Domain-Namen, die also etwa deutsche Umlaute enthalten, zum Beispiel "müller.de".

Nach Angaben von Tom Ferris vergisst Mozilla in speziellen Fällen solche Zeichen mitzuzählen und reserviert daher einen zu kleinen Puffer. Kopiert der Browser dann die URL in den zu kleinen Puffer, kann es zum Überlauf kommen und der Browser stürzt ab.

Die Mozilla-Entwickler haben im Security-Center eine Sicherheitsempfehlung veröffentlicht, in der zur Vermeidung des Problems die Deaktivierung der IDN-Unterstützung empfohlen wird. Zu diesem Zweck haben sie auch ein Add-on bereit gestellt, das diese Deaktivierung ausführt. Die Deaktivierung der IDN-Unterstützung ist als vorübergehende Maßnahme anzusehen, bis eine bessere Lösung gefunden ist.

Sicherheits-Newsletter : Sie möchten in punkto Sicherheit immer auf dem Laufenden bleiben? Dann abonnieren Sie doch einfach unseren kostenlosen Security-Newsletter. Dieser wird werktäglich verschickt. Bei Bedrohungen, die sofortiges Handeln erfordern, erhalten Sie zudem einen Security-Alert per Mail. Sie können den Newsletter auf dieser Website bestellen .

0 Kommentare zu diesem Artikel
61464