• IT-Karriere:
  • Services:

Sicherheitsloch führt zu Dauerabsturz bei Firefox 1.5 (Upd.)

Beispielcode belegt Programmabsturz

Im kürzlich vorgestellten Firefox 1.5 wurde eine Sicherheitslücke entdeckt, die zu einem wiederholten Absturz des Browsers führen kann. Die Entdecker des Sicherheitslochs behaupten zudem, dass sich über dieses Sicherheitsleck auch Programmcode ausführen lässt.

Artikel veröffentlicht am ,

Das Sicherheitsloch in Firefox 1.5 betrifft die Verarbeitung der Verlaufsdatei history.dat. Durch einen überlangen Eintrag in der history.dat stürzt Firefox 1.5 bei jedem Programmstart auf Grund eines Puffer-Überlaufs ab, so dass sich der Browser erst wieder normal nutzen lässt, nachdem die Verlaufsdatei gelöscht wurde. Mit Beispielcode belegen die Leute von Packetstorm Security den Fehler und behaupten, dass sich über das Sicherheitsloch auch beliebiger Programmcode ausführen lässt.

Stellenmarkt
  1. Präsidium Technik, Logistik, Service der Polizei, Stuttgart
  2. IT-Systemhaus der Bundesagentur für Arbeit, Fürth

Gegen einen solchen Angriff könnte man sich schützen, indem man Änderungen an den Verlaufseinstellungen von Firefox 1.5 vornimmt. Wenn man in den Verlaufsoptionen die Anzahl der zu merkenden Tage auf 0 stellt, bleibt die Verlaufsfunktion zwar ohne Wirkung, man riskiert aber nicht, Opfer eines solchen Angriffs zu werden. Ein Patch für Firefox steht bislang nicht bereit.

Das Sicherheitsloch wurde bislang für Firefox 1.5 unter Windows XP mit Service Pack 2 bestätigt. Unklar ist derzeit, ob das Sicherheitsloch auch auf anderen Plattformen auftritt und ob die Sicherheitslücke auch Firefox 1.0.x betrifft.

Nachtrag vom 8. Dezember 2005 um 15:05 Uhr:
Wie heise online berichtet, soll das hier beschriebene Sicherheitsloch auch in Firefox ab der Version 1.0.4 und Opera 8.5 stecken, so dass beide Browser sich dann nicht mehr ohne weiteres starten lassen. Bei Opera 8.5 muss die überlange Titelzeile aus der Datei autosave.ini entfernt werden, damit der norwegische Browser sich wieder starten lässt. Gänzlich unbeeindruckt von dem Sicherheitsloch zeigten sich laut heise online der KDE-Browser und der Internet Explorer 6 von Microsoft.

Nachtrag vom 9. Dezember 2005 um 15:30 Uhr:
Mozilla hat in einem Sicherheitshinweis erklärt, dass der beobachtete Absturz lediglich eine Verzögerung beim Programmstart darstelle. So könne es auf langsamen Rechnern schon ein paar Minuten dauern, bis Firefox nach Ausnutzung der Sicherheitslücke gestartet ist. Das gleiche Verhalten könnte demnach auch für Opera 8.5 gelten, so dass es nicht zu einem Absturz kommt.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Anzeige
Mobile-Angebote
  1. 149,90€ (Bestpreis!)
  2. 214,90€ (Bestpreis!)
  3. (u. a. moto g8 power 64GB 6,4 Zoll Max Vision HD+ für 159,99€)
  4. (u. a. Apple iPhone 11 Pro Max 256GB 6,5 Zoll Super Retina XDR OLED für 929,98€)

? 25. Aug 2007

Ich nicht, niemals.

Abdulkadir Topal 09. Dez 2005

Cnet hatte wenigstens den Anstand, die Meldung zurückzuziehen, nachdem klar war, dass...

Sinbad 09. Dez 2005

den Hinweis solltest Du dann auch heise mitteilen. Schließlich haben die das ja so...

foreach(:) 08. Dez 2005

auf windows 2000 server viele AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA´a aber kein...

foreach(:) 08. Dez 2005

oh hab den artikel nicht ganz gelesen,


Folgen Sie uns
       


Next-Gen: Tolle Indiegames für PS5 und Xbox Series X/S
Next-Gen
Tolle Indiegames für PS5 und Xbox Series X/S

Kaum ein unabhängiger Entwickler hat Dev-Kits für PS5 und Xbox Series X/S - aber The Pathinder und Falconeer sind tolle Next-Gen-Indiegames!
Von Rainer Sigl

  1. Indiegames-Rundschau Raumschiffknacker im Orbit
  2. Rollenspiel Fans übersetzen Disco Elysium ins Deutsche
  3. Indiegames-Rundschau Einmal durchspielen in 400 Tagen

Futuristische Schwebebahn im Testbetrieb: Verkehrsmittel der Zukunft für die dritte Dimension
Futuristische Schwebebahn im Testbetrieb
Verkehrsmittel der Zukunft für die dritte Dimension

Eine Schwebebahn für die Stadt, die jeden Passagier zum Wunschziel bringt - bequem, grün, ohne Stau und vielleicht sogar kostenlos. Ist das realistisch?
Ein Bericht von Werner Pluta

  1. ÖPNV Infraserv Höchst baut Wasserstofftankstelle für Züge

In eigener Sache: Golem-PCs mit Ryzen 5000 und Radeon RX 6800
In eigener Sache
Golem-PCs mit Ryzen 5000 und Radeon RX 6800

Mehr Leistung zum gleichen Preis: Der Golem Highend wurde mit dem Ryzen 5 5600X ausgestattet, die Geforce RTX 3070 kann optional durch eine günstigere und schnellere Radeon RX 6800 ersetzt werden.

  1. Video-Coaching für IT-Profis Shifoo geht in die offene Beta
  2. In eigener Sache Golem-PCs mit RTX 3070 günstiger und schneller
  3. In eigener Sache Die konfigurierbaren Golem-PCs sind da

    •  /