Search Icon
ConnectProfessional Logo
Search Icon
Startseite > Security > Jetzt auch kritisches Sicherheitsloch in »Firefox«

IT-Sicherheit: Browser

Jetzt auch kritisches Sicherheitsloch in »Firefox«

13. September 2007, 10:44 Uhr | Bernd Reder

Der Open-Source-Browser »Firefox« weist eine kritische Sicherheitslücke auf. Ebenso wie die jüngsten Löcher im »Internet Explorer« erlaubt sie es Hackern, das Kommando über fremde Rechner zu übernehmen.

Es ist nicht immer nur der »Internet Explorer«, der gravierende Sicherheitslöcher aufweist. Auf dem Hacker-Kongress »Toorcon 8«, der vom 29. September bis zum 1. Oktober in San Diego (Kalifornien) stattfand, wiesen zwei Referenten auf eine Schwachstelle von »Firefox« hin.

In ihrer Präsentation erläuterten Mischa Spiegelmock und Andrew Wbeelsoi, dass die Java-Implementierung von Firefox fehlerhaft ist. Hacker könnten auf Zielrechnern einen Stack-Overflow-Error provozieren. Dazu sei es erforderlich, den Benutzer eines Systems zum Besuch einer speziell präparierten Web-Seite zu animieren.

Nach demselben Muster gingen Angreifer vor, welche die aktuelle VML-Lücke (Vector Markup Language) für ihre Zwecke ausnutzten. Microsoft hat mittlerweile dieses Loch mithilfe von Patches gestopft.

Ebenso wie beim Internet Explorer lässt sich die Schwachstelle bei Firefox dazu nutzen, um Rechner in »Zombies« zu verwandeln, also Systeme, die ein Hacker fernsteuern kann.

Solche Rechner lassen sich beispielsweise für Distributed-Denial-of-Service-Attacken (DDoS) einsetzen. Dabei werden bestimmte Web-Server zur gleichen Zeit mit Anfragen überschwemmt und dadurch lahmgelegt. Ein weiteres »Einsatzgebiet« von gekaperten Rechnern ist das Verbreiten von unerwünschten Werbe-E-Mails (Spam).

Derzeit ist noch nicht absehbar, wann ein Patch für die Lücke in Firefox zur Verfügung steht, angeblich wegen der chaotischen Weise, in der Java-Support in den Browser integriert wurde.

Leser des amerikanischen IT-Security-Portals Whitedust empfehlen, solange das Firefox-Add-on »Noscript« zu installieren. Es aktiviert Java oder Javascript nur beim Zugriff auf Web-Seiten, die der Nutzer als vertrauenswürdig eingestuft hat.

Weitere Informationen unter

Link zur »Toorcon 8«

Beitrag auf Whitedust zur Firefox-Sicherheitslücke

Add-on »Noscript« für Firefox

Jetzt kostenfreie Newsletter bestellen!

Matchmaker+
elektrofachkraft.de

elektrofachkraft.de
GoTo Technologies Germany GmbH

GoTo Technologies Germany GmbH
Securepoint GmbH

Securepoint GmbH
Redgate Software

Redgate Software
easybell GmbH

easybell GmbH
comTeam Systemhaus GmbH

comTeam Systemhaus GmbH