Neue Schwachstelle im FireFox

Eine neue Schwachstelle wurde im alternativen Browser FireFox (FF) gefunden, mit der unter bestimmten Umständen beliebiger Code auf einem System ausgeführt werden kann. Das Problem besteht in allen FF Versionen bis einschließlich 1.0.3, ein Patch steht zur Zeit noch nicht zur Verfügung.

Ursache des Problems ist ein Fehler bei der Verarbeitung von Add-ons im Zusammenspiel mit einem IFrame- und JavaScript-Sicherheitsleck. Das französische French Security Incident Response Team hat dazu ein Exploit veröffentlicht mit der Webseiten Anwendern beliebigen Code unterschieben und ausführen können.

Da sich die Sicherheitslücke ausschließlich durch einen Download einer Firefox-Erweiterung ausnutzen lässt, besteht das Problem aber nur, wenn Erweiterungen auch von nicht-Mozilla-Domains heruntergeladen werden können. Anderen Domains sollten also nicht in der betreffenden Whitelist eingetragen werden. Auch wer die Software-Installation in Firefox ausgeschlatet hat, ist vorerst vor solchen Angriffen sicher.

Nachtrag:
Das Mozilla-Team will das Sicherheitsloch in Kürze schließen und dazu Firefox 1.0.4 veröffentlichen. Ein genauer Erscheinungstermin für Firefox 1.0.4 liegt aber noch nicht vor.