Kritische Sicherheitslücke in Firefox 3 - oder auch nicht [Update]

Dass Browser bei manchen Seiten einfach abstürzen, passiert manchmal. Manchmal ist das auch ärgerlich, etwa wenn man gerade in einem Blog vergessen hat, einen langen Text abzuspeichern. Den verursachenden Fehler in Firefox aber als kritische Sicherheitslücke zu bezeichnen, dürfte dann aber wohl ziemlich übertrieben sein, zumal der Entdecker des Problems Radware keinerlei Hinweise dafür vorlegt, dass sich Code einschleusen lässt.

Das in Israel ansässige Unternehmen Radware titelt in seiner Pressemeldung trotzdem "Critical Vulnerability in Firefox 3", ohne nähere Angaben zu machen, worauf der Fehler genau beruht. Bekannt ist nur, dass der beim Fuzzing gefundene Fehler in Firefox 3.0 und 3.0.1 beim Besuch von Webseiten mit fehlerhaften HTML-Code auftritt. Ob die Firefox-Entwickler bereits informiert sind, schreibt Radware nicht, auch nicht, ob es eine Workaround gibt und Anwender etwa JavaScript abschalten sollen. Es ist anzunehmen, dass der Fehler in einem der nächsten Updates behoben sein wird.

[Update] Nach Angaben der Mozilla-Foundation beruht der Fehler auf einer Null-Pointer-Derefence. Ob er sich zum Einschleusen von Code ausnutzen lässt, wird noch überprüft. Derzeit wird das Risiko aber als gering eingestuft. Darüber hinaus weist Window Snyder in ihrem Blog darauf hin, dass durch einen Absturz als verloren geglaubter Text in den meisten Fällen durch die Funktion "Sitzung wiederherstellen" gerettet werden kann.

Siehe dazu auch:

• Radware Reveals Critical Vulnerability in Firefox 3, Meldung von Radware

(dab)