Firefox 3.6 - Hochkritische Lücke ohne Patch (Update)

Eine ganz neue Sicherheitslücke, die der russische Experte Evgeny Legerov entdeckt hat, kann dazu genutzt werden, den Rechner mit Schadsoftware zu infizieren.

Von Georg Wieselsberger |

Datum: 20.02.2010; 12:04 Uhr

Firefox 3.5 logo Legerov hat seine Entdeckung und den dazu passenden Code, der die Lücke ausnützt, bereits mit professioneller Sicherheitssoftware getestet. Im Forum zu dieser Software nennt er die Lücke einen »wirklich coolen Fehler«.

Die Sicherheitsfirma Secunia hat die neue Sicherheitslücke als hochkritisch eingestuft, da dadurch voller Systemzugriff erlangt werden könnte. Weitere Details zu dem Fehler gibt es nicht, daher ist auch nicht klar, wie man sich bis zu einem Patch schützen kann. Secunia rät nur, keine Webseiten oder Links zu nutzen, denen man nicht vertraut.

Der Exploitcode zur Ausnutzung der Lücke wurde inzwischen als Modul für die Sicherheitssoftware Vulndisco veröffentlicht, die auch für den Test genutzt wurde. Es dürfte nicht lange dauern, bis der Code in andere Hände gelangt und der Angriff auf Firefox-Nutzer beginnt.

Update 23.02.2010

An der Existenz der gemeldeten Sicherheitslücke in Firefox 3.6 gibt es inzwischen erste Zweifel. Ein weiterer Experte hat den veröffentlichten Exploit-Code mit Firefox 3.6 und 3.5.8 sowohl unter Windows XP SP3 als auch Windows Vista SP2 ohne Erfolg getestet.

Er geht davon aus, dass es sich um eine Falschmeldung handelt, die sogar von Sicherheitsfirmen wie Secunia ohne eigenen Test weiterverbreitet wurde. Es sei auch eine guter Werbegag für die Sicherheitssoftware Vulndisco.

Von Mozilla selbst gibt es bisher nur eine Reaktion, in die Veröffentlichung der Sicherheitslücke leicht kritisiert wird. Anscheinend wurde Mozilla überhaupt nicht kontaktiert. Eine Bestätigung der Lücke steht aber nach wie vor aus.

Täglich aktuelle Hardware-News? Jetzt Newsletter bestellen!

Diesen Artikel: Kommentieren (23) | Drucken | E-Mail

FACEBOOK:
TWITTER:

WEITERE NETZE:	Weitersagen

Sagen Sie Ihre Meinung (» alle Kommentare)

Nur angemeldete Benutzer können kommentieren und bewerten!
» Zum Login

Sie sind noch nicht in der GameStar-Community angemeldet?
» Zur kostenlosen Anmeldung

Erster Beitrag | » Neuester Beitrag

1 2 3 weiter »

Oddball Runer
#1 | 20. Feb 2010, 12:19

Da sind ja dann bald alle Browser dan betroffen, wenn es so weitergeht.

Welchen Browser sollte man den jetzt Verwenden ?

Weiß eigentlich jemand ob schon die Sicherheitslücke von dem Internet Explorer 7 behoben wurde, sodass man wieder Normal Surfen kann ?

(1) |

(3)

XKL1
#2 | 20. Feb 2010, 12:27

Hauptsache der IE wird immer gebasht :D

(13) |

(3)

Spark_Amandil
#3 | 20. Feb 2010, 12:54

Es ist nunmal so:
Fehlerfrei ist kein Programm.
Und Browser wirken nur so lange sicher, bis ausreichend Leute sie verwenden und damit interessant werden für Kriminelle. Sobald diese sich eingehend mit den Browsern befassen, finden sich auch ausreichend Lücken die man ausnutzen kann.
Davor ist kein Browser sicher. Und es würde mich nicht überraschen wenn alle in etwa gleich anfällig wären.

(5) |

(0)

Col. Panic
#4 | 20. Feb 2010, 13:08

"Secunia rät nur, keine Webseiten oder Links zu nutzen, denen man nicht vertraut."

Auch Seiten, denen man traut können manipuliert sein, zB durch einen Angriff oder Bestandteile nicht vertrauenswürdiger Dritter (zB Werbung).

Zitat von Oddball Runer:

Welchen Browser sollte man den jetzt Verwenden ?

Links2 oder Dillo.

(1) |

(2)

S.o.T.
#5 | 20. Feb 2010, 13:31

Das erklärt das Atmen, das neulich aus meinen Boxen drang, als kein Media-Player, Spiel oder sonstiges Programm offen war. Und das erklärt auch, warum Antivir 6 Funde hatte beim letzten Suchdurchlauf. So ein Dreck...

(2) |

(3)

kullerhamPster [me]
#6 | 20. Feb 2010, 13:46

"Voller Systemzugriff" heißt wohl so viele Rechte, wie der Benutzer hat, der den Browser gestartet hat.
Ein Grund mehr, nicht mit Admin-Rechten zu Surfen. Wobei so eine Lücke natürlich auch ohne Admin-Rechte übel ist.

Geschickterweise scheint der Entdecker Details zur Lücke ja erstmal nicht den Firefox-Entwicklern zugänglich gemacht zu haben.

(1) |

(0)

JessyMachts
#7 | 20. Feb 2010, 14:43

Dieser Kommentar wurde ausgeblendet, da er nicht den Kommentar-Richtlinien entspricht.

Col. Panic
#8 | 20. Feb 2010, 14:56

Zitat von kullerhamPster [me:

]Voller Systemzugriff heißt wohl so viele Rechte, wie der Benutzer hat, der den Browser gestartet hat.
Ein Grund mehr, nicht mit Admin-Rechten zu Surfen. Wobei so eine Lücke natürlich auch ohne Admin-Rechte übel ist.

Eigentlich sollte man den Browser mit einem anderen Nutzerkonto starten, so dass er keinen Zugriff auf eigene Nutzerdaten hat. Ich wollte mir schon länger ein solches Setup einrichten.

Zitat von kullerhamPster [me:

]Geschickterweise scheint der Entdecker Details zur Lücke ja erstmal nicht den Firefox-Entwicklern zugänglich gemacht zu haben.

Das würde ja auch sein Gechäftsmodell zerstören.

(1) |

(0)

Deneb86
#9 | 20. Feb 2010, 15:08

Erschrecken, aber soetwas passiert und wird sicher bald behoben!

Kurze Frage: Im Text steht "...der die Lücke ausnützt, ". Ist das richtig, heißt es nicht eigentlich *ausnutzt*?

Bin mir sehr unsicher, würde "ausnutzt" sagen, aber im Netz schreiben es viele Quellen mit Ü.
Danke

(1) |

(0)

kullerhamPster [me]
#10 | 20. Feb 2010, 15:22

Zitat von Col. Panic:

Das würde ja auch sein Gechäftsmodell zerstören.

Lücken suchen, Exploits dafür entwickeln und in Umlauf bringen und dann seinen Kunden Schutz davor zu verkaufen ist imo ein Geschäftsmodell, um das es nicht besonders schade wäre ;)

Das mit den zwei Benutzerkonten ist wohl richtig. War mir bisher aber immer zu umständlich.

Win Vista und 7 bieten ja auch diese verschiedenen "Verbindlichkeitsstufen". Muss wohl doch wieder den Firefox auf niedrigste Verbindlichkeit setzten, in dem Fall darf er auch nicht mehr auf andere Verzeichnisse zugreifen.
Das Problem ist nur, dass dann bestimmte Dinge (prinzipbedingt) nicht mehr funktionieren.

(2) |

(0)