Abo
  • Services:

Sicherheitsleck in Firefox führt Programmcode aus

Überlange URLs verursachen Buffer Overflow in Firefox

In zahlreichen Firefox-Versionen wurde eine Sicherheitslücke entdeckt, worüber Angreifer Programmcode ausführen können. Überlange URLs verursachen in dem Browser einen Buffer Overflow, der Firefox zum Absturz bringt und sich dazu missbrauchen lässt, Code zu starten.

Artikel veröffentlicht am ,

Nach Angaben von Security Protocols wurde der Fehler für Firefox 1.0.6 sowie die zweite Alpha-Version von Firefox 1.5 bestätigt. Der Fehler dürfte aber auch in älteren Firefox-Versionen stecken.

Stellenmarkt
  1. über duerenhoff GmbH, München
  2. Logiway GmbH, Berlin

Der in den von Security Protocols bereitgestellten Informationen enthaltene Beweis für den Fehler bringt Firefox lediglich zum Absturz. Die Entdecker des Sicherheitslochs versichern jedoch, dass darüber auch Programmcode auf fremden Systemen ausgeführt werden kann. Die Mozilla-Entwickler sind bereits informiert, haben den Fehler bestätigt und testen bereits erste Fehlerbereinigungen. Eine Firefox-Version für Endkunden steht noch nicht bereit.

Die Firefox-Entwickler wurden erst vor zwei Tagen auf den Fehler hingewiesen. Etwas unklar ist, warum Security Protocols das Sicherheitsloch so frühzeitig veröffentlicht hat. Üblicherweise wird den Software-Herstellern mehr Zeit eingeräumt, Sicherheitslücken zu schließen, bevor man damit an die Öffentlichkeit geht.

Nachtrag vom 12. September 2005:
Das Sicherheitsleck steckt - wie zu erwarten war - auch in Mozilla und Netscape, da diese auf der gleichen Rendering-Engine wie Firefox aufsetzen. Außerdem wurde der Fehler für Firefox 1.5 Beta 1 bestätigt. Zumindest Netscape 8.0.3.3 sowie Mozilla 1.7.11 und vermutlich auch frühere Versionen weisen das Sicherheitsleck auf.



Anzeige
Top-Angebote
  1. 86,17€ mit Gutschein: NSW25 (Vergleichspreis 119,90€)
  2. (u. a. Logitech Z623 + Bluetooth-Adapter für 75€, ASUS Radeon RX 570 ROG Strix OC 4GB Gaming...
  3. für 149€ (Vergleichspreis ca. 210€)
  4. 749,99€ (Vergleichspreis 829€)

nx-Flag 13. Sep 2005

Haben nicht moderne Prozessoren dieses NX Flag, dass verhindern soll, dass nach...

SH 11. Sep 2005

Ja klar, Software kann nie sicher sein, aber man kann einiges dafür tun. Die Offenheit...

Missingno. 11. Sep 2005

Die Länge ist nicht entscheident, sondern was man damit machen kann. ;) Da eine...

Bruto 10. Sep 2005

Nicht jeder hat die Zeit oder Lust, sich den Tag mit der Suche nach krüppligen und...

foreach(:) 10. Sep 2005

bei mir stürtz mal gar nix ab egal wielange die url sind. hab eine ganze a4 seite oben...


Folgen Sie uns
       


Nokia 1 - Test

Das Nokia 1 ist HMD Globals günstigstes Android-Smartphone, wirklich Spaß macht die Nutzung uns allerdings nicht. Trotz Android Go weist das Gerät Leistungsschwächen auf.

Nokia 1 - Test Video aufrufen
Nissan Leaf: Wer braucht schon ein Bremspedal?
Nissan Leaf
Wer braucht schon ein Bremspedal?

Wie fährt sich das meistverkaufte Elektroauto? Nissan hat vor wenigen Monaten eine überarbeitete Version des Leaf auf den Markt gebracht. Wir haben es gefahren und festgestellt, dass das Auto fast ohne Bremse auskommt.
Ein Erfahrungsbericht von Werner Pluta

  1. e-NV200 Nissan packt 40-kWh-Akku in Elektro-Van
  2. Reborn Light Nissan-Autoakkus speisen Straßenlaternen
  3. Elektroauto Nissan will den IMx in Serie bauen

Wonder Workshop Cue im Test: Der Spielzeugroboter kommt ins Flegelalter
Wonder Workshop Cue im Test
Der Spielzeugroboter kommt ins Flegelalter

Bislang herrschte vor allem ein Niedlichkeitswettbewerb zwischen populären Spiel- und Lernrobotern für Kinder, jetzt durchbricht ein Roboter für jüngere Teenager das Schema nicht nur optisch: Cue fällt auch durch ein eher loseres Mundwerk auf.
Ein Test von Alexander Merz


    PGP/SMIME: Die wichtigsten Fakten zu Efail
    PGP/SMIME
    Die wichtigsten Fakten zu Efail

    Im Zusammenhang mit den Efail genannten Sicherheitslücken bei verschlüsselten E-Mails sind viele missverständliche und widersprüchliche Informationen verbreitet worden. Wir fassen die richtigen Informationen zusammen.
    Eine Analyse von Hanno Böck

    1. Sicherheitslücke in Mailclients E-Mails versenden als potus@whitehouse.gov

      •  /