Update: Die Meldung der beiden Hacker über die angeblich gefährliche Firefox-Sicherheitslücke hat sich als schlechter Scherz entpuppt. Mehr dazu hier.
Ursprüngliche Meldung vom 02.10.
In einer Präsentation auf der Toorcon-Sicherheitskonferenz in San Diego haben die Hacker Mischa Spiegelmock und Andrew Wbeelsoi eine angebliche Sicherheitslücke in Mozillas Firefox demonstriert, die es Angreifern ermöglichen soll, die vollständige Systemkontrolle zu übernehmen. Die Verwundbarkeit basiere auf einer fehlerhaften Implementierung von Javascript im Open-Source-Browser. Betroffen sollen alle Firefox-Versionen für Windows, Mac OS X und Linux sein.
„Der Internet Explorer ist, wie jeder weiß, nicht sehr sicher. Doch Firefox ist auch ziemlich unsicher“, so Spiegelmock. In seiner Vorführung beschrieb er das vermeintliche Javascript-Loch im Detail und zeigte wesentliche Teile des Angriffscodes, mit dem sich die Schwachstelle ausnutzen lassen soll.
Der Javascript-Fehler sei spezifisch für Firefox. Diverse Programmiertricks würden im populären Alternativ-Browser einen Stapelüberlauf verursachen, so Spiegelmock. Die Javascript-Implementierung in Firefox sei „ein totaler Verhau“, den man „unmöglich patchen könne“.
Mozillas neue Sicherheitschefin Window Snyder nimmt die Warnung ernst, zeigt sich aber verstimmt über die sofortige Veröffentlichung des Exploit-Codes. „Ich finde es bedauernswert, weil es Anwender in Gefahr bringt. Doch genau das scheint ihr Ziel zu sein.“
Gleichzeitig liefere die Präsentation vermutlich genug Informationen, um eine eventuell vorhandene Lücke zu stopfen, so Snyder. Doch die Beseitigung könnte aufwändiger werden als sonst, räumt die Sicherheitschefin ein: „Befindet sich das Problem in der Javascript Virtual Machine, wird die Lösung nicht leicht sein.“
Neueste Kommentare
5 Kommentare zu Firefox: Gefahr durch Javascript
Kommentar hinzufügenVielen Dank für Ihren Kommentar.
Ihr Kommentar wurde gespeichert und wartet auf Moderation.
Scherz
aus Heise:
Die gestern gemeldete angeblich kritische Lücke in Firefox‘ JavaScript-Implementierung hat sich – nicht ganz unerwartet – als große Übertreibung entpuppt. Gegenüber Mozillas Sicherheitschefin Window Snyder bekannte Mischa Spiegelmock, der die Behauptung auf der Hacker-Konferenz Toorcon aufgestellt hatte: "Der Vortrag sollte hauptsächlich ein Scherz sein"
AW: Scherz
da kann man es nachlesen:
http://developer.mozilla.org/devnews/index.php/2006/10/02/update-possible-vulnerability-reported-at-toorcon/
AW: Scherz
Jo. Scherz sponsored by Microsoft. ;)
Sicherheitslücke
Es wäre sicher besser gewesen, wenn Sie zuerst das Mozilla-Team über die Sicherheitslücke informiert hätten, bevor sie all den Schwachköpfen da draussen vorführen, wie man die Sicherheitslücke ausnutzt. Danke dafür.
Naja, komplex-beladene Nerds (wer sonst verbringt seine Zeit mit dem Austüfteln von Sicherheitslücken??!), die sich vor ihren Nerd-"Freunden" profilieren müssen. GET A LIFE!
Erbärmlich.
AW: Sicherheitslücke
Hey Sarah, Du sprichst mir aus der Seele. Diese Kaputtnicks nerven total.