Abo
  • Services:
Anzeige

Sicherheitsloch führt zu Dauerabsturz bei Firefox 1.5 (Upd.)

Beispielcode belegt Programmabsturz

Im kürzlich vorgestellten Firefox 1.5 wurde eine Sicherheitslücke entdeckt, die zu einem wiederholten Absturz des Browsers führen kann. Die Entdecker des Sicherheitslochs behaupten zudem, dass sich über dieses Sicherheitsleck auch Programmcode ausführen lässt.

Das Sicherheitsloch in Firefox 1.5 betrifft die Verarbeitung der Verlaufsdatei history.dat. Durch einen überlangen Eintrag in der history.dat stürzt Firefox 1.5 bei jedem Programmstart auf Grund eines Puffer-Überlaufs ab, so dass sich der Browser erst wieder normal nutzen lässt, nachdem die Verlaufsdatei gelöscht wurde. Mit Beispielcode belegen die Leute von Packetstorm Security den Fehler und behaupten, dass sich über das Sicherheitsloch auch beliebiger Programmcode ausführen lässt.

Anzeige

Gegen einen solchen Angriff könnte man sich schützen, indem man Änderungen an den Verlaufseinstellungen von Firefox 1.5 vornimmt. Wenn man in den Verlaufsoptionen die Anzahl der zu merkenden Tage auf 0 stellt, bleibt die Verlaufsfunktion zwar ohne Wirkung, man riskiert aber nicht, Opfer eines solchen Angriffs zu werden. Ein Patch für Firefox steht bislang nicht bereit.

Das Sicherheitsloch wurde bislang für Firefox 1.5 unter Windows XP mit Service Pack 2 bestätigt. Unklar ist derzeit, ob das Sicherheitsloch auch auf anderen Plattformen auftritt und ob die Sicherheitslücke auch Firefox 1.0.x betrifft.

Nachtrag vom 8. Dezember 2005 um 15:05 Uhr:
Wie heise online berichtet, soll das hier beschriebene Sicherheitsloch auch in Firefox ab der Version 1.0.4 und Opera 8.5 stecken, so dass beide Browser sich dann nicht mehr ohne weiteres starten lassen. Bei Opera 8.5 muss die überlange Titelzeile aus der Datei autosave.ini entfernt werden, damit der norwegische Browser sich wieder starten lässt. Gänzlich unbeeindruckt von dem Sicherheitsloch zeigten sich laut heise online der KDE-Browser und der Internet Explorer 6 von Microsoft.

Nachtrag vom 9. Dezember 2005 um 15:30 Uhr:
Mozilla hat in einem Sicherheitshinweis erklärt, dass der beobachtete Absturz lediglich eine Verzögerung beim Programmstart darstelle. So könne es auf langsamen Rechnern schon ein paar Minuten dauern, bis Firefox nach Ausnutzung der Sicherheitslücke gestartet ist. Das gleiche Verhalten könnte demnach auch für Opera 8.5 gelten, so dass es nicht zu einem Absturz kommt.


eye home zur Startseite
? 25. Aug 2007

Ich nicht, niemals.

Abdulkadir Topal 09. Dez 2005

Cnet hatte wenigstens den Anstand, die Meldung zurückzuziehen, nachdem klar war, dass...

Sinbad 09. Dez 2005

den Hinweis solltest Du dann auch heise mitteilen. Schließlich haben die das ja so...

foreach(:) 08. Dez 2005

auf windows 2000 server viele AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA´a aber kein...

foreach(:) 08. Dez 2005

oh hab den artikel nicht ganz gelesen,



Anzeige

Stellenmarkt
  1. FIEGE Logistik Stiftung & Co. KG, Hamburg
  2. Präsidium Technik, Logistik, Service der Polizei, Stuttgart
  3. ADG Apotheken-Dienstleistungsgesellschaft mbH, Regensburg
  4. ENERCON GmbH, Aurich


Anzeige
Spiele-Angebote
  1. (-10%) 35,99€
  2. 49,99€
  3. (-50%) 14,99€

Folgen Sie uns
       


  1. Signal Foundation

    Whatsapp-Gründer investiert 50 Millionen US-Dollar in Signal

  2. Astronomie

    Amateur beobachtet erstmals die Geburt einer Supernova

  3. Internet der Dinge

    Bosch will die totale Vernetzung

  4. Bad News

    Browsergame soll Mechanismen von Fake News erklären

  5. Facebook

    Denn sie wissen nicht, worin sie einwilligen

  6. Opensignal

    Deutschland soll auch beim LTE-Ausbau abgehängt sein

  7. IBM Spectrum NAS

    NAS-Software ist klein gehalten und leicht installierbar

  8. Ryzen V1000 und Epyc 3000

    AMD bringt Zen-Architektur für den Embedded-Markt

  9. Dragon Ball FighterZ im Test

    Kame-hame-ha!

  10. Für 4G und 5G

    Ericsson und Swisscom demonstrieren Network Slicing



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
HP Omen X VR im Test: VR auf dem Rücken kann nur teils entzücken
HP Omen X VR im Test
VR auf dem Rücken kann nur teils entzücken
  1. 3D Rudder Blackhawk Mehr Frags mit Fußschlaufen
  2. Kreativ-Apps für VR-Headsets Austoben im VR-Atelier
  3. Apps und Games für VR-Headsets Der virtuelle Blade Runner und Sport mit Sparc

Entdeckertour angespielt: Assassin's Creed Origins und die Spur der Geschichte
Entdeckertour angespielt
Assassin's Creed Origins und die Spur der Geschichte
  1. Assassin's Creed Denuvo und VM Protect bei Origins ausgehebelt
  2. Sea of Thieves angespielt Zwischen bärbeißig und böse
  3. Rogue Remastered Assassin's Creed segelt noch mal zum Nordpol

Axel Voss: "Das Leistungsschutzrecht ist nicht die beste Idee"
Axel Voss
"Das Leistungsschutzrecht ist nicht die beste Idee"
  1. Leistungsschutzrecht EU-Ratspräsidentschaft schlägt deutsches Modell vor
  2. Fake News Murdoch fordert von Facebook Sendegebühr für Medien
  3. EU-Urheberrechtsreform Abmahnungen treffen "nur die Dummen"

  1. Re: Warum hat Kupfer so einen negativen Ruf?

    Pedrass Foch | 06:12

  2. Re: Bitter nötig

    unbekannt. | 06:06

  3. Re: Wissenschaft lol

    Desertdelphin | 04:00

  4. Re: Warum sind Ports aufs PCB gelötet?

    Sarkastius | 03:59

  5. Re: Jetzt sind Autos endlich leise

    bentol | 03:39


  1. 21:26

  2. 19:00

  3. 17:48

  4. 16:29

  5. 16:01

  6. 15:30

  7. 15:15

  8. 15:00


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel