Demo-Exploit: Sicherheitslücke in Firefox 3.5

Diskutiere Demo-Exploit: Sicherheitslücke in Firefox 3.5 im IT-News Forum im Bereich News; Die erste schwerwiegende Sicherheitslücke im neuen Firefox 3.5 ist durch die Veröffentlichung eines Demo-Exploits bekannt geworden. Sie ermöglicht...
Eric-Cartman

Eric-Cartman

Threadstarter
Dabei seit
22.06.2005
Beiträge
8.644
Alter
41
1376045b14d895687e.gif


137604a49e2170f29f.jpg


Die erste schwerwiegende Sicherheitslücke im neuen Firefox 3.5 ist durch die Veröffentlichung eines Demo-Exploits bekannt geworden. Sie ermöglicht das Einschleusen und Ausführen von beliebigem Code.

Zwei Wochen nach dem Erscheinen von Firefox 3.5 ist die erste ernsthafte Sicherheitslücke in Mozillas neuem Web-Browser aufgedeckt worden. Ein Fehler in dessen neuem Javascript-Turbo Tracemonkey erlaubt das Einschleusen beliebigen Codes, der mit den Rechten des angemeldeten Benutzers ausgeführt wird. Ein Demo-Exploit für die Schwachstelle ist bereits öffentlich verfügbar.

Erst durch die Veröffentlichung dieses Code-Beispiels auf dem von den Totgesagten auferstandenen Exploit-Portal Milw0rm ist die Lücke öffentlich bekannt geworden. Auch Mozilla hat es lediglich ein paar Tage früher erfahren als der Rest der Welt. In Sicherheitskreisen nennt man diese Praxis "irresponsible disclosure", verantwortungslose Offenlegung. Der Sicherheitsdienstleister Secunia hat die Sicherheitslücke als "highly critical" eingestuft, das ist die zweithöchste Risikostufe.

Reale Angriffe im Web, die diese Sicherheitslücke auszunutzen versuchen, sind bislang nicht gemeldet worden. Der Demo-Exploit funktioniert unter Windows auch mit Nachbesserungen am Code nicht zuverlässig. Sowohl unter Windows 2000 und XP als auch unter Vista stürzt zwar der Browser ab, der beabsichtigte Start des Windows-Rechners "calc.exe" klappt jedoch meist nicht.

Nach Angaben im Mozilla Security Blog steckt der Fehler in dem mit Firefox 3.5 eingeführten JIT-Compiler (Just in Time) für Javascript. Dieser Laufzeit-Compiler ist für den erheblichen Geschwindigkeitsgewinn beim Abarbeiten von Javascript im Vergleich zu Firefox 3.0.x mit verantwortlich. Demzufolge ist Firefox 3.0.x von dieser Schwachstelle nicht betroffen.

Die Mozilla-Entwickler arbeiten an einem Sicherheits-Update, das den Fehler beseitigen soll. Das Update soll umgehend bereit gestellt werden, sobald es fertig ist. Bis dahin empfiehlt Mozilla den JIT-Compiler zu deaktivieren. Damit wird Firefox 3.5 zwar auf manchen Websites ungefähr auf die Geschwindigkeit von Firefox 3.0 gebremst, für die Sicherheit ist dieser Preis jedoch nicht zu hoch.

So deaktivieren Sie den JIT-Compiler:
1. Geben Sie in der Adresszeile "about:config" ein.
2. Geben Sie im Filter-Eingabefeld "jit" ein.
3. Führen Sie einen Doppelklick auf javascript.options.jit.content aus, falls am Ende dieser Zeile der Wert "true" steht. Der Wert sollte sich auf "false" ändern, der JIT-Compiler ist damit deaktiviert.

Nachdem Sie das Update auf Firefox 3.5.1, das in absehbarer Zeit erscheinen soll, installiert haben, wiederholen Sie diesen Vorgang. Als Wert sollte dann wieder "true" in der letzten Spalte stehen, der JIT-Compiler ist dann wieder aktiviert.


 
A

AMD-Okay

Dabei seit
12.01.2009
Beiträge
57
Ort
Berlin
"Damit wird Firefox 3.5 zwar auf manchen Websites ungefähr auf die Geschwindigkeit von Firefox 3.0 gebremst,"

also ich finde der 3.5 ist eh kein deut schneller als der 3.xx , nur ebend zum momentanen zeitpunkt noch verbuggter.(das es da sicherheitslücken gibt, schockiert mich da wenig)
eine der schwächsten versionen, seit es den fuchs gibt. viel hype und gedöns um so wenig.ich finde alles in allem eine ziemliche enttäuschung, der rummel im voraus war meiner meinung nach ganz schön viel heiße luft.
da gibt es noch jede menge baustellen. aber irgendwann wird das schon.
 
Thema:

Demo-Exploit: Sicherheitslücke in Firefox 3.5

Demo-Exploit: Sicherheitslücke in Firefox 3.5 - Ähnliche Themen

Google schließt erneut vier Sicherheitslücken in Chrome 16: Google hat nur rund zwei Wochen nach der Veröffentlichung des letzten Sicherheitsupdates für Chrome 16 eine weitere Aktualisierung...
Pwn2own lässt grüßen: Exploit für Patch-Day-Lücke veröffentlicht: Ein Sicherheitsforscher hat Details zur Ausnutzung einer Sicherheitslücke in Windows veröffentlicht, die Microsoft beim letzten Patch Day...
Mozilla schließt fünf Sicherheitslücken in Firefox 3.5 und 3.0: Drei Schwachstellen ermöglichen das Einschleusen und Ausführen von Schadcode. Sie hat Mozilla als kritisch eingestuft. In Firefox 3.6 wurden die...
Firefox 3.5.1: Neuer Fehler harmlos? (Update): Neuer Fehler harmlos? Der Open-Source-Browser Firefox in der neuen Version 3.5.1 erhältlich, in der mehrere Sicherheitslücken behoben werden...
Firefox 3.5.1: Sicherheitslücken behoben: Sicherheitslücken behoben Der Open-Source-Browser Firefox in der neuen Version 3.5.1 erhältlich, in der mehrere Sicherheitslücken behoben werden...
Oben