1053596

Zweite Firefox-Lücke nicht ausnutzbar

21.07.2009 | 14:55 Uhr |

Eine kürzlich bekannt gewordene weitere Sicherheitslücke in Firefox 3.5 betrifft auch die Version 3.5.1, soll jedoch nach Ansicht der Mozilla-Entwickler nicht für Angriffe ausnutzbar sein.

Keine ausnutzbare Schwäche in Firefox
Vergrößern Keine ausnutzbare Schwäche in Firefox

Einen Tag vor der Bereitstellung des Sicherheits-Updates auf die Firefox-Version 3.5.1 ist eine zweite Sicherheitslücke bekannt geworden. Ein Demo-Exploit (Beispiel-Code) ist veröffentlicht worden, der den Browser zum Absturz bringt. Die Schwachstelle ist auch in Firefox 3.5.1 vorhanden. Doch Mozilla hat inzwischen abgewinkt - die Sicherheitslücke tauge nicht für mehr als einen Absturz.

Im Mozilla Security Blog schreibt Mike Shaver, Vizepräsident bei Mozilla, das Problem trete auch in den 3.0.x-Versionen auf. Der Absturz durch eine übermäßig lange Unicode-Zeichenkette erfolge jedoch unter Windows auf eine sichere Weise, die das Ausführen eingeschleusten Codes nicht erlaube. Bei Mac OS X und Linux liege die Ursache in Programmbibliotheken, die Teil des jeweiligen Betriebssystems seien. Mozilla habe Apple darüber informiert, da auch andere Anwendungen davon betroffen sein können.

Für den Fall, dass Apple keine Lösung dafür anbiete, würden die Mozilla-Entwickler jedoch nach Möglichkeiten suchen, so Shaver weiter, das Auftreten des Problems zu vermeiden. Unter Linux hätten die Distributoren verschiedene Compiler-Optionen für Firefox gewählt, sodass die Absturzmeldungen hier unterschiedlich ausfallen könnten.

Die Einschätzungen verschiedener Institutionen bezüglich der Risikoeinstufung dieses Bugs seien übertrieben und korrekturbedürftig. So habe Symantecs SecurityFocus seine Einschätzung bereits revidiert.

Firefox 3.5.2 wird wohl also wie geplant Ende Juli oder Anfang August erscheinen. Heute soll es jedenfalls mit Firefox 3.0.12 zunächst ein schon länger geplantes Sicherheits-Update für den 3.0.x-Zweig geben.

0 Kommentare zu diesem Artikel
1053596