Update: Gravierende Firefox-Lücke - oder doch nicht?
Angeblicher Firefox-Fehler offenbar nur ein (schlechter) Scherz.
3. Oktober 2006
An der Hacker-Konferenz Toorcon haben zwei Hacker von einem angeblich äusserst kritischen Fehler in der JavaScript-Implementation von Firefox berichtet und ihre Feststellungen mit einem Exploit untermauert. Über eine präparierte Webseite soll sich beliebiger Code auf das Zielsystem einschleusen und ausführen lassen. Das Loch findet sich plattformübergreifend in der Windows-, Linux- und Mac-OS-X-Version des beliebten Browsers und ist laut den beiden Präsentatoren nur einer von rund 30 weiteren Fehlern in der JavaScript-Maschine von Firefox, die sie aber weder veröffentlichen noch an die Firefox-Entwickler melden wollen.
Window Snyder, die Sicherheitschefin des Mozilla-Teams, äusserte sich laut diversen Online-Medien wenig begeistert über die Art und Weise, wie die Lücke der Öffentlichkeit präsentiert wurde. Es sei nicht einmal klar, ob das Problem überhaupt so gravierend sei, eventuell handle es sich nur um eine Variation einer älteren Attacke. Dennoch hält es Snyder für unverantwortlich, die Firefox-User durch die Veröffentlichung sowohl des Fehlers als auch des Exlpoit-Mechanismus einem unnötigen Risiko auszusetzen.
Die Firefox-Entwickler sind laut Snyder indessen mit der Abklärung des Problems beschäftigt. Die Lücke taucht auch in der Mozilla-Fehlerdatenbank Bugzilla auf, bis jetzt allerdings als "Unconfirmed" und mit der Anmerkung "Nobody is working on this."
Inzwischen ist einer der Toorcon-Hacker zurückgekrebst. Die ganze Präsentation sei nur ein Scherz gewesen. Es gebe keine JavaScript-Lücke in Firefox und schon gar keine 30, und mit dem gezeigten Schadcode habe er allenfalls den Browser zum Absturz gebracht, aber niemals Kontrolle über ein entferntes System erhalten. Dessenungeachtet nimmt das Firefox-Team die Sache nach wie vor ernst und recherchiert weiter. (ubi)
Window Snyder, die Sicherheitschefin des Mozilla-Teams, äusserte sich laut diversen Online-Medien wenig begeistert über die Art und Weise, wie die Lücke der Öffentlichkeit präsentiert wurde. Es sei nicht einmal klar, ob das Problem überhaupt so gravierend sei, eventuell handle es sich nur um eine Variation einer älteren Attacke. Dennoch hält es Snyder für unverantwortlich, die Firefox-User durch die Veröffentlichung sowohl des Fehlers als auch des Exlpoit-Mechanismus einem unnötigen Risiko auszusetzen.
Die Firefox-Entwickler sind laut Snyder indessen mit der Abklärung des Problems beschäftigt. Die Lücke taucht auch in der Mozilla-Fehlerdatenbank Bugzilla auf, bis jetzt allerdings als "Unconfirmed" und mit der Anmerkung "Nobody is working on this."
Inzwischen ist einer der Toorcon-Hacker zurückgekrebst. Die ganze Präsentation sei nur ein Scherz gewesen. Es gebe keine JavaScript-Lücke in Firefox und schon gar keine 30, und mit dem gezeigten Schadcode habe er allenfalls den Browser zum Absturz gebracht, aber niemals Kontrolle über ein entferntes System erhalten. Dessenungeachtet nimmt das Firefox-Team die Sache nach wie vor ernst und recherchiert weiter. (ubi)
Artikel kommentieren
