Firefox - Version 3.6.12 schließt Sicherheitslücke

Die bis zu diesem Zeitpunkt unbekannte Sicherheitslücke betrifft Firefox 3.5 und 3.6, aber nicht die Beta-Version des neuen Firefox 4. Nutzer der älteren Versionen konnten bei einem Besuch der Webseite des Friedens-Nobelpreises mit dem Trojaner Belmoo infiziert werden.

Laut den Sicherheitsexperten von Norman führt die Spur des Angriffs nach Taiwan. Allerdings ist nicht klar, ob die Aktion dort tatsächlich ihren Ursprung hatte, da es sich anscheinend um dynamische IP-Adressen handelt. Erst vor einigen Wochen hatte ein in China inhaftierter Menschenrechtler den Friedens-Nobelpreis erhalten.

Obwohl der Besuch der Nobelpreis-Webseite inzwischen nicht mehr gefährlich ist, geht Mozilla davon aus, dass der Schadcode auch über andere Server verteilt werden könnte. Mozilla arbeitet an einem Patch für das Problem und empfiehlt bis dahin, JavaScript in Firefox zu deaktivieren oder das NoScript-Addon zu verwenden.

Update 28.10.2010

Mozilla hat die neue Version 3.6.12 von Firefox online gestellt, die die beschriebene Sicherheitslücke behebt. Da nicht auszuschließen ist, dass der Fehler, der einen Puffer-Überlauf erzeugt und so zu einem Angriff verwendet werden kann, auch auf anderen Webseiten ausgenutzt wird, ist die Installation der neuen Version des Browsers dringend angeraten.

Firefox 3.6.12 enthält im Vergleich zu Firefox 3.6.11 keine weiteren Änderungen. Der Download ist wie immer direkt bei Mozilla möglich.