Firefox: Gefahr durch Javascript

Update: Die Meldung der beiden Hacker über die angeblich gefährliche Firefox-Sicherheitslücke hat sich als schlechter Scherz entpuppt. Mehr dazu hier.

Ursprüngliche Meldung vom 02.10.

In einer Präsentation auf der Toorcon-Sicherheitskonferenz in San Diego haben die Hacker Mischa Spiegelmock und Andrew Wbeelsoi eine angebliche Sicherheitslücke in Mozillas Firefox demonstriert, die es Angreifern ermöglichen soll, die vollständige Systemkontrolle zu übernehmen. Die Verwundbarkeit basiere auf einer fehlerhaften Implementierung von Javascript im Open-Source-Browser. Betroffen sollen alle Firefox-Versionen für Windows, Mac OS X und Linux sein.

„Der Internet Explorer ist, wie jeder weiß, nicht sehr sicher. Doch Firefox ist auch ziemlich unsicher“, so Spiegelmock. In seiner Vorführung beschrieb er das vermeintliche Javascript-Loch im Detail und zeigte wesentliche Teile des Angriffscodes, mit dem sich die Schwachstelle ausnutzen lassen soll.

Der Javascript-Fehler sei spezifisch für Firefox. Diverse Programmiertricks würden im populären Alternativ-Browser einen Stapelüberlauf verursachen, so Spiegelmock. Die Javascript-Implementierung in Firefox sei „ein totaler Verhau“, den man „unmöglich patchen könne“.

Mozillas neue Sicherheitschefin Window Snyder nimmt die Warnung ernst, zeigt sich aber verstimmt über die sofortige Veröffentlichung des Exploit-Codes. „Ich finde es bedauernswert, weil es Anwender in Gefahr bringt. Doch genau das scheint ihr Ziel zu sein.“

Gleichzeitig liefere die Präsentation vermutlich genug Informationen, um eine eventuell vorhandene Lücke zu stopfen, so Snyder. Doch die Beseitigung könnte aufwändiger werden als sonst, räumt die Sicherheitschefin ein: „Befindet sich das Problem in der Javascript Virtual Machine, wird die Lösung nicht leicht sein.“