Alert! Erste kritische Sicherheitslücke in Firefox 3

Das fängt ja gut an: Nur fünf Stunden nach dem offiziellen Release von Firefox 3 am 17. Juni will die Zero Day Initiative (ZDI) einen Fehlerbericht über eine kritische Sicherheitlücke im neuesten Sprößling der Mozilla Foundation erhalten haben. Laut ZDI habe man die Lücke im Labor verifizieren können. Ein Angreifer könne dadurch mittels einer präparierten Webseite Schadcode in einen PC schleusen und mit den Rechten des Nutzers starten. Die Lücke soll sich zudem auch schon in Firefox 2 befinden.

Nähere Informationen gibt es dazu erst mal nicht, bis die Firefox-Entwickler ein Update vorgelegt haben. Die von den Herstellern 3Com und TippingPoint ins Leben gerufene Zero Day Initiative hält sich strikt an die Regeln der Responsible Disclosure und veröffentlicht Einzelheiten zu Schwachstellen erst, wenn ein Update zum Schließen der Lücke verfügbar ist. Ob die Lücke dennoch bereits aktiv ausgenutzt wird, ist nicht bekannt.

Öffentlich aufgefallen war das Problem zunächst durch den Firefox-Eintrag in der Liste der "Upcoming Advisories" auf den Seiten der ZDI. Dort sind alle Lücken festgehalten, über die ein Hersteller bereits informiert ist, für die aber noch kein Patch vorliegt. Derzeit finden sich alle namhaften Hersteller mehrfach in der Liste, wobei es sich überwiegend um kritische Lücken handelt. Eine scheint dabei besonders schwierig zu behandeln zu sein: Bereits seit 644 Tagen ist Microsoft eine kritische Lücke bekannt, ohne dass es dafür einen Patch gibt.

Siehe dazu auch:

• Mozilla Firefox 3.0 Vulnerability, Bericht von ZDI

Zu Firefox 3 siehe auch:

• Firefox 3: Über 8 Millionen Downloads in den ersten 24 Stunden
• Download Day: Firefox 3 bereits 6,5 Millionen Mal heruntergeladen
• Firefox 3 steht zum Download bereit

(dab)