Original-URL des Artikels: https://www.golem.de/1002/73278.html    Veröffentlicht: 21.02.2010 10:52    Kurz-URL: https://glm.io/73278

Firefox 3.6: Exploit für Sicherheitslücke veröffentlicht

Angriff über einen Buffer-Overflow ermöglicht Übernahme eines Rechners

Eine Schwachstelle in der aktuellen Version 3.6 des Browsers Firefox erlaubt die Übernahme eines Rechners über einen Angriff aus der Ferne. Die Mozilla-Entwickler haben bislang noch keinen Patch für die Sicherheitslücke veröffentlicht.

Der russische Sicherheitsexperte Evgeny Legerov vom Unternehmen Intevydis erklärt, der Exploit funktioniere auf Rechnern mit den Betriebssystemen Windows XP mit Service Pack 3 und Vista. Der Angriff erfolgt über einen Buffer Overflow. Mozilla-Entwickler haben die Veröffentlichung zur Kenntnis genommen, aber noch keine Stellungnahme veröffentlicht oder einen Patch in Aussicht gestellt.

Der von Legerov entwickelte Exploit wurde bereits als Modul in dem kostenpflichtigen Addon Vulndisco für das kommerzielle Exploit-Toolkit Canvas des Unternehmens Immunity eingepflegt. Das Unternehmen Secunia, das regelmäßig Informationen über 0-Day-Exploits veröffentlicht, wertet die neue Schwachstelle als kritisch.

Es wäre einer der seltenen Fälle, in denen ein 0-Day-Exploit zu Mozillas Browser Firefox vor der Veröffentlichung eines entsprechenden Patches bekanntwurde. In ihrer Stellungnahme äußern die Mozilla-Entwickler auch verhaltene Kritik an dem russischen Sicherheitsunternehmen: "Wir schätzen die Beiträge aller Sicherheitsexperten und ermutigen sie, mit uns innerhalb unseres Sicherheitsprozesses zu arbeiten. Verantwortungsvolle Veröffentlichungen von Schwachstellen sollen die höchstmögliche Sicherheit für unsere Benutzer gewährleisten.".  (jt)


Verwandte Artikel:
HTML-Tag lässt Firefox und Thunderbird abstürzen   
(18.10.2005, https://glm.io/41082 )
Memory Leak: Insiderhandel bei Intel?   
(04.01.2018, https://glm.io/131957 )
Zertifikate: Trustico verwundbar für Root-Code-Injection   
(01.03.2018, https://glm.io/133089 )
Firefox 3.6 veröffentlicht   
(21.01.2010, https://glm.io/72411 )
Juli 2018: Chrome bestraft Webseiten ohne HTTPS   
(09.02.2018, https://glm.io/132689 )

© 1997–2019 Golem.de, https://www.golem.de/