Abo
  • Services:
Anzeige

Sicherheitsloch führt zu Dauerabsturz bei Firefox 1.5 (Upd.)

Beispielcode belegt Programmabsturz

Im kürzlich vorgestellten Firefox 1.5 wurde eine Sicherheitslücke entdeckt, die zu einem wiederholten Absturz des Browsers führen kann. Die Entdecker des Sicherheitslochs behaupten zudem, dass sich über dieses Sicherheitsleck auch Programmcode ausführen lässt.

Das Sicherheitsloch in Firefox 1.5 betrifft die Verarbeitung der Verlaufsdatei history.dat. Durch einen überlangen Eintrag in der history.dat stürzt Firefox 1.5 bei jedem Programmstart auf Grund eines Puffer-Überlaufs ab, so dass sich der Browser erst wieder normal nutzen lässt, nachdem die Verlaufsdatei gelöscht wurde. Mit Beispielcode belegen die Leute von Packetstorm Security den Fehler und behaupten, dass sich über das Sicherheitsloch auch beliebiger Programmcode ausführen lässt.

Anzeige

Gegen einen solchen Angriff könnte man sich schützen, indem man Änderungen an den Verlaufseinstellungen von Firefox 1.5 vornimmt. Wenn man in den Verlaufsoptionen die Anzahl der zu merkenden Tage auf 0 stellt, bleibt die Verlaufsfunktion zwar ohne Wirkung, man riskiert aber nicht, Opfer eines solchen Angriffs zu werden. Ein Patch für Firefox steht bislang nicht bereit.

Das Sicherheitsloch wurde bislang für Firefox 1.5 unter Windows XP mit Service Pack 2 bestätigt. Unklar ist derzeit, ob das Sicherheitsloch auch auf anderen Plattformen auftritt und ob die Sicherheitslücke auch Firefox 1.0.x betrifft.

Nachtrag vom 8. Dezember 2005 um 15:05 Uhr:
Wie heise online berichtet, soll das hier beschriebene Sicherheitsloch auch in Firefox ab der Version 1.0.4 und Opera 8.5 stecken, so dass beide Browser sich dann nicht mehr ohne weiteres starten lassen. Bei Opera 8.5 muss die überlange Titelzeile aus der Datei autosave.ini entfernt werden, damit der norwegische Browser sich wieder starten lässt. Gänzlich unbeeindruckt von dem Sicherheitsloch zeigten sich laut heise online der KDE-Browser und der Internet Explorer 6 von Microsoft.

Nachtrag vom 9. Dezember 2005 um 15:30 Uhr:
Mozilla hat in einem Sicherheitshinweis erklärt, dass der beobachtete Absturz lediglich eine Verzögerung beim Programmstart darstelle. So könne es auf langsamen Rechnern schon ein paar Minuten dauern, bis Firefox nach Ausnutzung der Sicherheitslücke gestartet ist. Das gleiche Verhalten könnte demnach auch für Opera 8.5 gelten, so dass es nicht zu einem Absturz kommt.


eye home zur Startseite
? 25. Aug 2007

Ich nicht, niemals.

Abdulkadir Topal 09. Dez 2005

Cnet hatte wenigstens den Anstand, die Meldung zurückzuziehen, nachdem klar war, dass...

Sinbad 09. Dez 2005

den Hinweis solltest Du dann auch heise mitteilen. Schließlich haben die das ja so...

foreach(:) 08. Dez 2005

auf windows 2000 server viele AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA´a aber kein...

foreach(:) 08. Dez 2005

oh hab den artikel nicht ganz gelesen,



Anzeige

Stellenmarkt
  1. Robert Bosch GmbH, Leonberg
  2. Robert Bosch GmbH, Schwieberdingen
  3. Ratbacher GmbH, Dortmund
  4. Pfennigparade WKM GmbH, München


Anzeige
Blu-ray-Angebote
  1. (u. a. Reign, Person of Interest, Gossip Girl, The Clone Wars)
  2. 12,85€ + 5€ FSK18-Versand

Folgen Sie uns
       


  1. MacOS 10.13

    Apple gibt High Sierra frei

  2. WatchOS 4.0 im Test

    Apples praktische Taschenlampe mit autarkem Musikplayer

  3. Werksreset

    Unitymedia stellt Senderbelegung heute in Hessen um

  4. Aero 15 X

    Mehr Frames mit der GTX 1070 im neuen Gigabyte-Laptop

  5. Review Bombing

    Valve verbessert Transparenz bei Nutzerbewertungen auf Steam

  6. Big Four

    Kundendaten von Deloitte offenbar gehackt

  7. U2F

    Yubico bringt winzigen Yubikey für USB-C

  8. Windows 10

    Windows Store wird zum Microsoft Store mit Hardwareangeboten

  9. Kabelnetz

    Eazy senkt Preis für 50-MBit/s-Zugang im Unitymedia-Netz

  10. Nintendo

    Super Mario Run wird umfangreicher und günstiger



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Parkplatz-Erkennung: Bosch und Siemens scheitern mit Pilotprojekten
Parkplatz-Erkennung
Bosch und Siemens scheitern mit Pilotprojekten
  1. Community based Parking Mercedes S-Klasse liefert Daten für Boschs Parkplatzsuche

Optionsbleed: Apache-Webserver blutet
Optionsbleed
Apache-Webserver blutet
  1. Apache-Sicherheitslücke Optionsbleed bereits 2014 entdeckt und übersehen
  2. Open Source Projekt Oracle will Java EE abgeben

Lenovo Thinkstation P320 Tiny im Test: Viel Leistung in der Zigarrenschachtel
Lenovo Thinkstation P320 Tiny im Test
Viel Leistung in der Zigarrenschachtel
  1. Adware Lenovo zahlt Millionenstrafe wegen Superfish
  2. Lenovo Smartphone- und Servergeschäft sorgen für Verlust
  3. Lenovo Patent beschreibt selbstheilendes Smartphone-Display

  1. Re: Die Atmen App...

    Niaxa | 00:17

  2. Re: Kennt man auch von Amazo

    Anonymouse | 00:15

  3. Re: Android als Seniorensystem?

    katze_sonne | 00:11

  4. Re: Irgendwie muss ja künftig Umsatz generieren...

    ChristianKG | 00:08

  5. Re: Für mich nicht nachvollziehbar

    nietscherarek | 00:08


  1. 19:40

  2. 19:00

  3. 17:32

  4. 17:19

  5. 17:00

  6. 16:26

  7. 15:31

  8. 13:28


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel