Demo-Exploit: Sicherheitslücke in Firefox 3.5

Diskutiere Demo-Exploit: Sicherheitslücke in Firefox 3.5 im IT-News Forum im Bereich IT-News; Die erste schwerwiegende Sicherheitslücke im neuen Firefox 3.5 ist durch die Veröffentlichung eines Demo-Exploits bekannt geworden. Sie ermöglicht...
#1
Eric-Cartman

Eric-Cartman

Moderator
Team
Dabei seit
22.06.2005
Beiträge
8.628
Alter
37
Ort
In Windows Nr. 10




Die erste schwerwiegende Sicherheitslücke im neuen Firefox 3.5 ist durch die Veröffentlichung eines Demo-Exploits bekannt geworden. Sie ermöglicht das Einschleusen und Ausführen von beliebigem Code.

Zwei Wochen nach dem Erscheinen von Firefox 3.5 ist die erste ernsthafte Sicherheitslücke in Mozillas neuem Web-Browser aufgedeckt worden. Ein Fehler in dessen neuem Javascript-Turbo Tracemonkey erlaubt das Einschleusen beliebigen Codes, der mit den Rechten des angemeldeten Benutzers ausgeführt wird. Ein Demo-Exploit für die Schwachstelle ist bereits öffentlich verfügbar.

Erst durch die Veröffentlichung dieses Code-Beispiels auf dem von den Totgesagten auferstandenen Exploit-Portal Milw0rm ist die Lücke öffentlich bekannt geworden. Auch Mozilla hat es lediglich ein paar Tage früher erfahren als der Rest der Welt. In Sicherheitskreisen nennt man diese Praxis "irresponsible disclosure", verantwortungslose Offenlegung. Der Sicherheitsdienstleister Secunia hat die Sicherheitslücke als "highly critical" eingestuft, das ist die zweithöchste Risikostufe.

Reale Angriffe im Web, die diese Sicherheitslücke auszunutzen versuchen, sind bislang nicht gemeldet worden. Der Demo-Exploit funktioniert unter Windows auch mit Nachbesserungen am Code nicht zuverlässig. Sowohl unter Windows 2000 und XP als auch unter Vista stürzt zwar der Browser ab, der beabsichtigte Start des Windows-Rechners "calc.exe" klappt jedoch meist nicht.

Nach Angaben im Mozilla Security Blog steckt der Fehler in dem mit Firefox 3.5 eingeführten JIT-Compiler (Just in Time) für Javascript. Dieser Laufzeit-Compiler ist für den erheblichen Geschwindigkeitsgewinn beim Abarbeiten von Javascript im Vergleich zu Firefox 3.0.x mit verantwortlich. Demzufolge ist Firefox 3.0.x von dieser Schwachstelle nicht betroffen.

Die Mozilla-Entwickler arbeiten an einem Sicherheits-Update, das den Fehler beseitigen soll. Das Update soll umgehend bereit gestellt werden, sobald es fertig ist. Bis dahin empfiehlt Mozilla den JIT-Compiler zu deaktivieren. Damit wird Firefox 3.5 zwar auf manchen Websites ungefähr auf die Geschwindigkeit von Firefox 3.0 gebremst, für die Sicherheit ist dieser Preis jedoch nicht zu hoch.

So deaktivieren Sie den JIT-Compiler:
1. Geben Sie in der Adresszeile "about:config" ein.
2. Geben Sie im Filter-Eingabefeld "jit" ein.
3. Führen Sie einen Doppelklick auf javascript.options.jit.content aus, falls am Ende dieser Zeile der Wert "true" steht. Der Wert sollte sich auf "false" ändern, der JIT-Compiler ist damit deaktiviert.

Nachdem Sie das Update auf Firefox 3.5.1, das in absehbarer Zeit erscheinen soll, installiert haben, wiederholen Sie diesen Vorgang. Als Wert sollte dann wieder "true" in der letzten Spalte stehen, der JIT-Compiler ist dann wieder aktiviert.


 
#3
A

AMD-Okay

Dabei seit
12.01.2009
Beiträge
57
Ort
Berlin
"Damit wird Firefox 3.5 zwar auf manchen Websites ungefähr auf die Geschwindigkeit von Firefox 3.0 gebremst,"

also ich finde der 3.5 ist eh kein deut schneller als der 3.xx , nur ebend zum momentanen zeitpunkt noch verbuggter.(das es da sicherheitslücken gibt, schockiert mich da wenig)
eine der schwächsten versionen, seit es den fuchs gibt. viel hype und gedöns um so wenig.ich finde alles in allem eine ziemliche enttäuschung, der rummel im voraus war meiner meinung nach ganz schön viel heiße luft.
da gibt es noch jede menge baustellen. aber irgendwann wird das schon.
 
Thema:

Demo-Exploit: Sicherheitslücke in Firefox 3.5

Demo-Exploit: Sicherheitslücke in Firefox 3.5 - Ähnliche Themen

  • Microsoft Store - Game (Forza Horizon 4 Demo) Installation funktioniert nicht

    Microsoft Store - Game (Forza Horizon 4 Demo) Installation funktioniert nicht: Hallo!, ich bekomme es nicht hin die Demo von Forza Horizon 4 zu installieren. Sobald ich auf "installieren > Festplatte auswählen (andere als...
  • ASUS Splendid Demo

    ASUS Splendid Demo: Wie kann ich "ASUS Splendid Demo" deaktivieren?
  • weshalb wird bei mir nur der Akku von der Tastatur geladen? Kann ich deshalb den Touchpad nicht demo

    weshalb wird bei mir nur der Akku von der Tastatur geladen? Kann ich deshalb den Touchpad nicht demo: weshalb wird bei mir nur der Akku von der Tastatur geladen? Kann ich deshalb den Touchpad nicht demontieren?
  • Demo-Exploit für neue Sicherheitslücke im Internet Explorer veröffentlicht

    Demo-Exploit für neue Sicherheitslücke im Internet Explorer veröffentlicht: Der Internet Explorer ist immer wieder Gegenstand von Meldungen über so genannte "Zero-Day-Exploits" (oder auch "0Day-Exploits"). Eine Gruppe...
  • Demo-Exploit für Firefox 1.5.0.4

    Demo-Exploit für Firefox 1.5.0.4: In seinem Blog "Browser Fun" demonstriert H.D. Moore, warum die Installation des Updates auf Firefox 1.5.0.5 geboten ist. Der Sicherheitsforscher...
  • Ähnliche Themen

    Oben