Firefox verwundbar oder nicht?

firefox_logo_64x64.pngNachdem Mischa Spiegelmock und Andrew Wbeelsoi auf der Hacker-Konferenz ToorCon 2006 über einen schwerwiegenden Fehler im Firefox berichteten, versucht die Entwicklergemeinde diesen nun zu lokalisieren oder zumindest zu bestätigen.

Die beiden hatten während ihres Vortrages auf der Konferenz einen scheinbar schwerwiegenden Fehler in der Implementation von JavaScript im Firefox präsentiert der einem Angreifer die Möglichkeit bieten soll, beliebigen Code in das Zielsystem einzuschleusen und zur Ausführung zu bringen. Allein der Aufruf einer entsprechend präparierten WebSite soll dies ermöglichen. Details über diesen und angeblich weitere 30 schwerwiegende Fehler wollten die Vortragenden jedoch nicht preisgeben. Bei Bugzilla findet man die betreffenden Slides aus der Präsentation.

Bestätigen konnte die Existenz eines derartigen Fehlers noch niemand, es scheint sich wohl um ein älteres Problem zu handeln, welches den Browser durch die Erzeugung überlanger Zeichenketten abstürzen lässt. Zudem hat Mischa Spiegelmock, nach diversen Hinweisen ein Mitarbeiter von Six Apart, inzwischen ein Statement veröffentlicht, in dem er den ganzen Vortrag als einen Scherz bezeichnet.

„The main purpose of our talk was to be humorous.

Trotz allem wird weiterhin nach möglichen Fehlern gesucht, derzeit sicherlich etwas intensiver als es ohnehin permanent der Fall sein dürfte. Wer kein Vertrauen in JavaScript hat, sollte sich zur Beruhigung der Nerven die Erweiterung NoScript installieren. Diese ist in der Lage, JavaScript zu deaktivieren und nur für vereinzelte, vertrauenswürdige Seiten zuzulassen.

Tags: , , , , ,