136470

Firefox-Lücke höher eingestuft

31.01.2008 | 16:08 Uhr |

Die kürzlich bekannt gewordene Schwachstelle in Firefox ist doch ernster als zunächst von den Mozilla-Entwickler eingeschätzt. Nach Veröffentlichung eines weiteren Demos wird die Sicherheitslücke nun als "hoch" eingestuft.

Ein Datenleck im Web-Browser Firefox, das in der letzten Woche bekannt geworden ist , erweist sich als schwerwiegender als zunächst angenommen. Mozillas Sicherheitschefin Window Snyder erklärt dazu allerdings weiterhin, Firefox sei nicht per se anfällig, vielmehr seien Firefox-Erweiterungen, die nicht als JAR-Archiv installiert würden, für die Ausnutzung der Schwachstelle erforderlich.

Der Sicherheitsforscher Gerry Eisenhaur , der die Sicherheitslücke entdeckt hatte, hat eine neue Demonstrationsseite bereit gestellt. Diese soll unterstreichen, dass es möglich ist Session-Daten, wie etwa Session-Cookies, aus der Datei "sessionstore.js" abzugreifen und damit an private Informationen zu gelangen.

Window Snyder hat Eisenhaurs Angaben bestätigt. Sie schreibt in ihrem Blog , die Anfälligkeit würde nunmehr als "hoch" eingestuft. Die Schwachstelle würde in der nächsten Firefox- Version, 2.0.0.12, gestopft. Diese soll voraussichtlich am 5. Februar erscheinen.

Bis dahin ruft Snyder die Entwickler von Firefox-Erweiterungen dazu auf, ihre Add-ons als JAR-Archive bereit zu stellen. Aus einem Kommentar in ihrem Blog geht hervor, dass zumindest ein solcher Entwickler der Ansicht ist, er würde lieber darauf warten, dass die Mozilla-Entwickler die Schwachstelle beseitigen, denn bis er sein Add-on als JAR-Archiv bereit gestellt und an seine User verteilt habe, sei längst die neue Firefox-Version erschienen.

Von dem Problem betroffen sind etliche Dutzend Erweiterungen, einige wenige sind inzwischen als JAR-Archive neu verpackt worden. JAR-Archive sind eigentlich der vorgesehene Standard für Firefox-Erweiterungen aller Art. Wer die Erweiterung NoScript (http://noscript.net) installiert hat, sollte vor der Ausnutzung des Datenlecks sicher sein.

0 Kommentare zu diesem Artikel
136470