Sicherheitsleck in Firefox führt Programmcode aus

Überlange URLs verursachen Buffer Overflow in Firefox. In zahlreichen Firefox-Versionen wurde eine Sicherheitslücke entdeckt, worüber Angreifer Programmcode ausführen können. Überlange URLs verursachen in dem Browser einen Buffer Overflow, der Firefox zum Absturz bringt und sich dazu missbrauchen lässt, Code zu starten.

9. September 2005 um 14:01 Uhr / Ingo Pakalski

84 Kommentare News folgen (öffnet im neuen Fenster)

Nach Angaben von Security Protocols(öffnet im neuen Fenster) wurde der Fehler für Firefox 1.0.6 sowie die zweite Alpha-Version von Firefox 1.5 bestätigt. Der Fehler dürfte aber auch in älteren Firefox-Versionen stecken.

Der in den von Security Protocols bereitgestellten Informationen enthaltene Beweis für den Fehler bringt Firefox lediglich zum Absturz. Die Entdecker des Sicherheitslochs versichern jedoch, dass darüber auch Programmcode auf fremden Systemen ausgeführt werden kann. Die Mozilla-Entwickler sind bereits informiert, haben den Fehler bestätigt und testen bereits erste Fehlerbereinigungen. Eine Firefox-Version für Endkunden steht noch nicht bereit.

Neue Angebote bei Golem Jobs(öffnet im neuen Fenster)

Expert*in Lösungsarchitektur IT Betrieb Deutsche Rentenversicherung Bund, Würzburg (öffnet im neuen Fenster)

IT-Sicherheitsexperte (m/w/d) SBK Siemens-Betriebskrankenkasse, München (öffnet im neuen Fenster)

System Engineer AWS - Operational Services (m/w/d) SVA System Vertrieb Alexander GmbH, Wiesbaden (öffnet im neuen Fenster)

Informatiker / Senior Developer & Database Specialist (m/w/d) Deutsches Arzneiprüfungsinstitut e. V. (DAPI), Berlin (öffnet im neuen Fenster)

Abteilungsleitung (m/w/d) Bilanzierung und HGB-Reporting SIGNAL IDUNA Gruppe, Dortmund (öffnet im neuen Fenster)

Mitarbeiter*in IT (m/w/d) Landessportbund Berlin e.V., Berlin (öffnet im neuen Fenster)

IT-Administrator (m/w/d) mit SAP Super-Keyuser Funktion Huonker GmbH, Villingen-Schwenningen (öffnet im neuen Fenster)

R&D Engineer (m/f/d) Software Development (C++) Advantest Europe GmbH, Böblingen (öffnet im neuen Fenster)

Die Firefox-Entwickler wurden erst vor zwei Tagen auf den Fehler hingewiesen. Etwas unklar ist, warum Security Protocols das Sicherheitsloch so frühzeitig veröffentlicht hat. Üblicherweise wird den Software-Herstellern mehr Zeit eingeräumt, Sicherheitslücken zu schließen, bevor man damit an die Öffentlichkeit geht.

Nachtrag vom 12. September 2005:
Das Sicherheitsleck steckt – wie zu erwarten war – auch in Mozilla und Netscape, da diese auf der gleichen Rendering-Engine wie Firefox aufsetzen. Außerdem wurde der Fehler für Firefox 1.5 Beta 1 bestätigt. Zumindest Netscape 8.0.3.3 sowie Mozilla 1.7.11 und vermutlich auch frühere Versionen weisen das Sicherheitsleck auf.

Zur Startseite 84 Kommentare

Reklame Hier geht es zu Hacking & Security: Das umfassende Handbuch bei Amazon

Neues Sicherheitsleck in Firefox entdeckt

Mozilla-Team arbeitet an Firefox-Update. Im Mozilla-Browser Firefox wurde ein neues Sicherheitsloch entdeckt, das unter bestimmten Umständen das Ausführen beliebigen Programmcodes erlaubt. Das Sicherheitsleck betrifft auch den aktuellen Firefox 1.0.3; ein Patch steht noch nicht bereit.

Firefox-Erweiterung: Neue Version von Greasemonkey

Greasemonkey 0.5 Beta schließt bekannt gewordenes Sicherheitsloch. Die Firefox-Erweiterung Greasemonkey steht ab sofort in der Version 0.5 Beta zum Download bereit und schließt damit ein kürzlich bekannt gewordenes Sicherheitsleck. Damit steht wieder eine Greasemonkey-Version mit vollem Funktionsumfang zur Verfügung, nachdem Kernfunktionen in der letzten Version der Firefox-Erweiterung aus Sicherheitsgründen abgeschaltet wurden.

Relevante Themen