Legerov hat seine Entdeckung und den dazu passenden Code, der die Lücke ausnützt, bereits mit professioneller Sicherheitssoftware getestet. Im Forum zu dieser Software nennt er die Lücke einen »wirklich coolen Fehler«.
Die Sicherheitsfirma Secunia hat die neue Sicherheitslücke als hochkritisch eingestuft, da dadurch voller Systemzugriff erlangt werden könnte. Weitere Details zu dem Fehler gibt es nicht, daher ist auch nicht klar, wie man sich bis zu einem Patch schützen kann. Secunia rät nur, keine Webseiten oder Links zu nutzen, denen man nicht vertraut.
Der Exploitcode zur Ausnutzung der Lücke wurde inzwischen als Modul für die Sicherheitssoftware Vulndisco veröffentlicht, die auch für den Test genutzt wurde. Es dürfte nicht lange dauern, bis der Code in andere Hände gelangt und der Angriff auf Firefox-Nutzer beginnt.
Update 23.02.2010
An der Existenz der gemeldeten Sicherheitslücke in Firefox 3.6 gibt es inzwischen erste Zweifel. Ein weiterer Experte hat den veröffentlichten Exploit-Code mit Firefox 3.6 und 3.5.8 sowohl unter Windows XP SP3 als auch Windows Vista SP2 ohne Erfolg getestet.
Er geht davon aus, dass es sich um eine Falschmeldung handelt, die sogar von Sicherheitsfirmen wie Secunia ohne eigenen Test weiterverbreitet wurde. Es sei auch eine guter Werbegag für die Sicherheitssoftware Vulndisco.
Von Mozilla selbst gibt es bisher nur eine Reaktion, in die Veröffentlichung der Sicherheitslücke leicht kritisiert wird. Anscheinend wurde Mozilla überhaupt nicht kontaktiert. Eine Bestätigung der Lücke steht aber nach wie vor aus.
Nur angemeldete Benutzer können kommentieren und bewerten.
Dein Kommentar wurde nicht gespeichert. Dies kann folgende Ursachen haben:
1. Der Kommentar ist länger als 4000 Zeichen.
2. Du hast versucht, einen Kommentar innerhalb der 10-Sekunden-Schreibsperre zu senden.
3. Dein Kommentar wurde als Spam identifiziert. Bitte beachte unsere Richtlinien zum Erstellen von Kommentaren.
4. Du verfügst nicht über die nötigen Schreibrechte bzw. wurdest gebannt.
Bei Fragen oder Problemen nutze bitte das Kontakt-Formular.
Nur angemeldete Benutzer können kommentieren und bewerten.
Nur angemeldete Plus-Mitglieder können Plus-Inhalte kommentieren und bewerten.