Firefox 3.6: Exploit für schwerwiegende Sicherheitslücke im Netz aufgetaucht
Wie das russische Sicherheitsunternehmen Intevydis berichtet, existiert ein Exploit zur Ausnutzung einer Sicherheitslücke im aktuellen Webbrowser von Mozilla, Firefox 3.6. Diese Sicherheitslücke erlaubt die Übernahme des Rechners und gilt damit als äußerst kritisch. Gefährdet sind vor allem Benutzer mit den Betriebssystemen Windows XP SP3 und Windows Vista.
Der Angriff verwendet ein klassisches Buffer-Overflow-Szenario und erlaubt die Übernahme des Zielrechners. Nach dem Microsoft Internet Explorer erwischt es jetzt also auch die Konkurrenz. Mozilla äußerte sich aktuell nicht zu der Sicherheitslücke, sodass bisher auch kein Patch veröffentlicht wurde. Erste Vermutungen besagen, dass sich das Exploit bereits seit einiger Zeit im Umlauf befindet und mehrfach eingesetzt wurde. Demnach sollen zu Beginn der laufenden Woche deutlich mehr Abstürze von Firefox 3.6 registriert worden sein.
Das russische Sicherheitsunternehmen bietet das Exploit kostenpflichtig über das Toolkit Canvas an. Enthalten ist das Exploit bereits seit dem 01. Februar in dem Addon Vulndisco. Die Entwickler von Firefox lassen sich also ungewohnt lange Zeit für die Auslieferung eines entsprechenden Sicherheitspatches.
Romano, 04.03.2010 16:13 Uhr
Dieses Gerücht wird immer glaubhafter, sieht eindeutig nach unseriöser Werbung aus. Ich erinnere mich das es sowas ähnliches mal mit einem angeblichen stackoverflow in TCP/IP gab. Da wurde auch nie genaueres genannt. Scheint reiner Schwindel zu sein.
[st], 04.03.2010 07:00 Uhr
Es gibt derzeit keine öffentlichen Details zu dieser Sicherheitslücke. Gerüchten zufolge, soll es sich eventuell auch um eine Werbeaktion für das kostenpflichtige Toolkit handeln.
Auch Mozilla kann das Vorhandensein weder bestätigen noch dementieren, da eben nicht bekannt ist, wie konkret die Sicherheitslücke ausgenutzt werden kann. Ein Kontakt zwischen dem russischen Unternehmen und Mozilla sei wohl unbeantwortet geblieben.
Romano, 03.03.2010 23:09 Uhr
Sind irgendwo genauere technische Details zu finden? Ich würde das gern selbst einmal schreiben und unter meinem Linuxsystem testen.
Vielen Dank für die Info!