Update nächste Woche
Firefox-Lücke höher eingestuft
Die kürzlich bekannt gewordene Schwachstelle in Firefox ist doch ernster als zunächst von den Mozilla-Entwickler eingeschätzt. Nach Veröffentlichung eines weiteren Demos wird die Sicherheitslücke nun als "hoch" eingestuft.
Ein Datenleck im Web-Browser Firefox, das in der letzten Woche bekannt geworden ist, erweist sich als schwerwiegender als zunächst angenommen. Mozillas Sicherheitschefin Window Snyder erklärt dazu allerdings weiterhin, Firefox sei nicht per se anfällig, vielmehr seien Firefox-Erweiterungen, die nicht als JAR-Archiv installiert würden, für die Ausnutzung der Schwachstelle erforderlich.
Der Sicherheitsforscher Gerry Eisenhaur, der die Sicherheitslücke entdeckt hatte, hat eine neue Demonstrationsseite bereit gestellt. Diese soll unterstreichen, dass es möglich ist Session-Daten, wie etwa Session-Cookies, aus der Datei "sessionstore.js" abzugreifen und damit an private Informationen zu gelangen.
Window Snyder hat Eisenhaurs Angaben bestätigt. Sie schreibt in ihrem Blog, die Anfälligkeit würde nunmehr als "hoch" eingestuft. Die Schwachstelle würde in der nächsten Firefox- Version, 2.0.0.12, gestopft. Diese soll voraussichtlich am 5. Februar erscheinen.
Bis dahin ruft Snyder die Entwickler von Firefox-Erweiterungen dazu auf, ihre Add-ons als JAR-Archive bereit zu stellen. Aus einem Kommentar in ihrem Blog geht hervor, dass zumindest ein solcher Entwickler der Ansicht ist, er würde lieber darauf warten, dass die Mozilla-Entwickler die Schwachstelle beseitigen, denn bis er sein Add-on als JAR-Archiv bereit gestellt und an seine User verteilt habe, sei längst die neue Firefox-Version erschienen.
Von dem Problem betroffen sind etliche Dutzend Erweiterungen, einige wenige sind inzwischen als JAR-Archive neu verpackt worden. JAR-Archive sind eigentlich der vorgesehene Standard für Firefox-Erweiterungen aller Art. Wer die Erweiterung NoScript (http://noscript.net) installiert hat, sollte vor der Ausnutzung des Datenlecks sicher sein.
