|
Sicherheitslücke in Firefox 3.5 auch nach Update vorhanden
Die in der letzten Woche entdeckte Sicherheitslücke von
Firefox 3.5 besteht auch in der Version 3.5.1 weiterhin
fort.
Bösartiger JavaScript-Code kann beim Firefox einen
Pufferüberlauf verursachen, über den Code auf den Rechner
eingeführt werden kann. Die Mozilla Foundation hat
inzwischen bestätigt, dass das Problem auch bei Firefox
3.5.1 weiterhin besteht, ist jedoch der Meinung, dass über
die Lücke kein sinnvoller Malware-Code auszuführen sei.
Mittels eines überlangen Unicode-String, eingesetzt in der
document.write()-Funktion, ist es möglich die
Rücksprungadresse aus dem Stack zu überschreiben. Zwar ist
es so möglich, bösartigen Code über den Unicode
einzuschleusen, dennoch muss dies eher als theoretische
Möglichkeit angesehen werden, da die dynamische
Heap-Verwaltung des Betriebssystem es nahezu unmöglich
macht, die dazu passende Rücksprungadresse auf den Stack zu
bringen.
Secunia und einige Antivirenhersteller hatten den Bug als
"höchst kritisch" bewertet. Nach Meinung der
Mozilla-Foundation bewerten die Hersteller von
Antiviren-Software die Möglichkeit des Einschleusens von
Malware oder Daten durch manipulierte Strings, Bilder oder
Multimediadateien gerne mal zu hoch, um die eigenen Umsätze
etwas anzukurbeln. (20.07.09)
Siehe auch:
Firefox
3.5 fertig zum Download
Firefox künftig in getrennten Prozessen
Privatsphäre-Modus für den Firefox
Firefox weiss wo du bist
Die besten Erweiterungen für Firefox
Diese Meldung einem Freund senden
|
