55966

Sicherheitslücke in Mozilla und Firefox

05.04.2005 | 14:32 Uhr |

In einem russischen Untergrund-Forum berichtet ein Nutzer, der sich "Azafran" nennt, über eine Sicherheitslücke im Web-Browser Firefox, die inzwischen auch im Mozilla-Browser nachvollzogen werden konnte. Betroffen sind die aktuellen Versionen 1.0.2 von Firefox und 1.7.6 von Mozilla sowie auch die älteren Versionen. Ebenfalls betroffen sind die auf Mozilla basierenden Browser Netscape und K-Meleon.

In einem russischen Untergrund-Forum berichtet ein Nutzer, der sich "Azafran" nennt, über eine Sicherheitslücke im Web-Browser Firefox, die inzwischen auch im Mozilla-Browser nachvollzogen werden konnte. Betroffen sind die aktuellen Versionen 1.0.2 von Firefox und 1.7.6 von Mozilla sowie auch die älteren Versionen. Ebenfalls betroffen sind die auf Mozilla basierenden Browser Netscape und K-Meleon.

Das Problem ist im Grunde bereits seit 1997 bekannt, seine Behebung im Jahr 2000 scheint aber nur teilweise geglückt zu sein, wie sich nun zeigt. Durch einen Fehler im Javascript-Modul kann eine speziell präparierte Web-Seite Daten aus dem Arbeitsspeicher auslesen, die Rückschlüsse auf die Inhalte anderer Browser-Fenster zulassen.

So hat der Sicherheitsdienstleister Secunia auf Basis der Informationen von Azafran eine Demonstrationsseite bereit gestellt, mit der Benutzer ihren Browser testen können. Dabei kann es allerdings zum Absturz des Browsers kommen.

Ein Update oder Patch zur Behebung der Sicherheitslücke ist noch nicht verfügbar, in den aktuellsten Entwicklerversionen ("nightly builds") der Browser ist der Fehler jedoch bereits beseitigt. Dabei handelt es sich um Firefox 1.0.3 ( wir berichteten gestern ausführlich ). Diese Version dürfte auch demnächst Firefox 1.0.2 ablösen, das erst vor einigen Tagen erschienen war.

Bis zur Installation einer korrigierten Version oder eines Updates sollten Sie in Firefox und Mozilla entweder Javascript deaktivieren oder vor dem Aufruf von Web-Seiten, die das Eingeben persönlicher Daten erfordern (etwa Online-Banking, Web-Mail), alle anderen Browser-Fenster schließen.

Sicherheitslücken hin oder her. Wie der Umgang mit Sicherheitslücken richtig geschehen sollte, haben die Sicherheitsexperten von Eeye Digital Security erst Anfang der Woche vorgemacht ( wir berichteten ). Sie entdeckten Lücken im Internet Explorer und Outlook und meldeten diese sofort Microsoft. Genaue Details zu den Sicherheitslücken gibt es nicht. Microsoft soll so die Möglichkeit gegeben werden, einen Patch zu entwickeln, bevor Angreifer die Lücken für ihre Zwecke nutzen könnten und Anwender völlig schutzlos wären. Im Falle der jetzt publik gewordenen Sicherheitslücke in Mozilla/Firefox haben die Entwickler diesen Vorsprung nicht.

Firefox 1.0.3 bereits im Anmarsch - Version 2.0 erst 2006 (PC-WELT Online, 04.04.2005)

FrSirt Advisory

Secunia Demo

Bugzilla

0 Kommentare zu diesem Artikel
55966