Sicherheitsloch führt zu Dauerabsturz bei Firefox 1.5 (Upd.)

Beispielcode belegt Programmabsturz

Im kürzlich vorgestellten Firefox 1.5 wurde eine Sicherheitslücke entdeckt, die zu einem wiederholten Absturz des Browsers führen kann. Die Entdecker des Sicherheitslochs behaupten zudem, dass sich über dieses Sicherheitsleck auch Programmcode ausführen lässt.

Artikel veröffentlicht am ,

Das Sicherheitsloch in Firefox 1.5 betrifft die Verarbeitung der Verlaufsdatei history.dat. Durch einen überlangen Eintrag in der history.dat stürzt Firefox 1.5 bei jedem Programmstart auf Grund eines Puffer-Überlaufs ab, so dass sich der Browser erst wieder normal nutzen lässt, nachdem die Verlaufsdatei gelöscht wurde. Mit Beispielcode belegen die Leute von Packetstorm Security den Fehler und behaupten, dass sich über das Sicherheitsloch auch beliebiger Programmcode ausführen lässt.

Stellenmarkt
  1. IT-Softwareentwickler/-in mit dem Schwerpunkt Web-Entwicklung (m/w/d)
    awk AUSSENWERBUNG GmbH, Koblenz
  2. Minijobber:in im Customer Suppport (w/d/m)
    Haufe Group, Freiburg im Breisgau
Detailsuche

Gegen einen solchen Angriff könnte man sich schützen, indem man Änderungen an den Verlaufseinstellungen von Firefox 1.5 vornimmt. Wenn man in den Verlaufsoptionen die Anzahl der zu merkenden Tage auf 0 stellt, bleibt die Verlaufsfunktion zwar ohne Wirkung, man riskiert aber nicht, Opfer eines solchen Angriffs zu werden. Ein Patch für Firefox steht bislang nicht bereit.

Das Sicherheitsloch wurde bislang für Firefox 1.5 unter Windows XP mit Service Pack 2 bestätigt. Unklar ist derzeit, ob das Sicherheitsloch auch auf anderen Plattformen auftritt und ob die Sicherheitslücke auch Firefox 1.0.x betrifft.

Nachtrag vom 8. Dezember 2005 um 15:05 Uhr:
Wie heise online berichtet, soll das hier beschriebene Sicherheitsloch auch in Firefox ab der Version 1.0.4 und Opera 8.5 stecken, so dass beide Browser sich dann nicht mehr ohne weiteres starten lassen. Bei Opera 8.5 muss die überlange Titelzeile aus der Datei autosave.ini entfernt werden, damit der norwegische Browser sich wieder starten lässt. Gänzlich unbeeindruckt von dem Sicherheitsloch zeigten sich laut heise online der KDE-Browser und der Internet Explorer 6 von Microsoft.

Golem Karrierewelt
  1. Elastic Stack Fundamentals – Elasticsearch, Logstash, Kibana, Beats: virtueller Drei-Tage-Workshop
    14.-16.02.2023, Virtuell
  2. Hands-on C# Programmierung: virtueller Zwei-Tage-Workshop
    06./07.02.2023, virtuell
Weitere IT-Trainings

Nachtrag vom 9. Dezember 2005 um 15:30 Uhr:
Mozilla hat in einem Sicherheitshinweis erklärt, dass der beobachtete Absturz lediglich eine Verzögerung beim Programmstart darstelle. So könne es auf langsamen Rechnern schon ein paar Minuten dauern, bis Firefox nach Ausnutzung der Sicherheitslücke gestartet ist. Das gleiche Verhalten könnte demnach auch für Opera 8.5 gelten, so dass es nicht zu einem Absturz kommt.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


? 25. Aug 2007

Ich nicht, niemals.

Abdulkadir Topal 09. Dez 2005

Cnet hatte wenigstens den Anstand, die Meldung zurückzuziehen, nachdem klar war, dass...

Sinbad 09. Dez 2005

den Hinweis solltest Du dann auch heise mitteilen. Schließlich haben die das ja so...

foreach(:) 08. Dez 2005

auf windows 2000 server viele AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA´a aber kein...



Aktuell auf der Startseite von Golem.de
Twitter
Was bisher bei Elon Musks Twitter 2.0 geschah

Nach der Twitter-Übernahme durch Elon Musk ist klar: Das Netzwerk hat wesentlich weniger Mitarbeiter. Es ist aber noch viel mehr passiert.
Ein Bericht von Oliver Nickel

Twitter: Was bisher bei Elon Musks Twitter 2.0 geschah
Artikel
  1. Responsible Disclosure: Obi macht das Melden einer Sicherheitslücke schwer
    Responsible Disclosure
    Obi macht das Melden einer Sicherheitslücke schwer

    Ein Sicherheitsforscher hat eine Lücke bei mehreren Unternehmen und Stadtverwaltungen gemeldet. Obi machte es ihm besonders schwer.

  2. Glasfaser: Konkurrenz gegen Abschaltrecht des Kupfernetzes der Telekom
    Glasfaser
    Konkurrenz gegen Abschaltrecht des Kupfernetzes der Telekom

    Noch ist die Telekom weit davon entfernt, ihr Kupfernetz abschalten zu können. Doch erste Planungen laufen und die Konkurrenz stellt Forderungen.

  3. Sono Motors: Solarauto Sion steht vor dem Aus
    Sono Motors
    Solarauto Sion steht vor dem Aus

    Sono Motors hat nicht mehr genug Geld für den Aufbau der Serienproduktion des Solarautos Sion. Nun soll die Community finanziell helfen. Mal wieder.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • PS5 bei Amazon • Samsung SSDs bis -28% • Rabatt-Code für ebay • Logitech Mäuse, Tastaturen & Headsets -53% • HyperX PC-Peripherie -56% • Google Pixel 6 & 7 -49% • PS5-Spiele günstiger • Tiefstpreise: Palit RTX 4080 1.369€, Roccat Kone Pro 39,99€, Asus RTX 6950 XT 939€ [Werbung]
    •  /