Deutsch | English

Sicherheitslücken im Web-Browser Mozilla Firefox

27. März 2009

Sicherheitslücken im Web-Browser Mozilla Firefox

Angesichts der Schwere der Lücken und der hohen Anzahl an installierten Firefox-Browsern bittet CERT.at um Beachtung der folgenden Hinweise.

Beschreibung

Die Mozilla Foundation plant, in einigen Tagen folgende schwere Sicherheitslücken zu beheben:
  • Fehler in der XSLT-Komponente
  • der bei der CanSecWest 2009 - Konferenz entdeckte sog. "pwn2own"-Bug

Auswirkungen

Es existiert bereits Proof-of-Concept - Code für den XSLT-Fehler, der den Browser abstürzen lässt, vermutlich kann diese Lücke zum Ausführen beliebigen Schadcodes ausgenutzt werden.
Der sog. "pwn2own"-Bug wurde bei der CanSecWest 2009 - Konferenz benutzt, um Code in den Browser einzuschleusen und in dessen Kontext auszuführen.

Betroffene Systeme

Laut dem Bug-Tracking-System der Mozilla Foundation sind folgende Produkte und Versionen betroffen:
  • Firefox 3.0.x bis inkl. Version 3.0.7

Abhilfe

Update auf die aktuelle Version 3.0.8, sobald verfügbar - voraussichtlich um den 31.3./1.4. herum

Hinweis

Generell empfiehlt CERT.at, wo möglich die "automatisches Update"-Features von Software zu nutzen, parallel Firewall-Software aktiv und den Virenschutz aktuell zu halten.
Informationsquelle(n):

Bug bei der Mozilla Foundation
https://bugzilla.mozilla.org/show_bug.cgi?id=485217
Proof-of-Concept
http://milw0rm.com/exploits/8285
Mozilla Security Blog
http://blog.mozilla.com/security/2009/03/26/cansecwest-2009-pwn2own-exploit-and-xsl-transform-vulnerability/
Meldung bei Heise Security (deutsch)
http://www.heise.de/security/Exploit-fuer-ungepatchte-Luecke-in-Firefox--/news/meldung/135284
Email: reports@cert.at
Tel.: +43 1 5056416 78
mehr ...
Neue Variante von Ransomware/Wurm "Petya"
28. Juni 2017 | Seit ...
Ransomware/Wurm WannaCry
14. Mai 2017 | Seit ...
mehr ...
In eigener Sache: CERT.at sucht Verstärkung
18. Juli 2017 | Für unser ...
Petya Updates #3 - Die Hoffnung auf einen Kill-Switch
27. Juni 2017 | Petya ...
mehr ...
Jahresbericht 2016
Ein Resumee zur digitalen Sicherheitslage in Österreich

(HTML, PDF).
Letzte Änderung: 2013/7/17 - 17:00:08
Haftungsausschluss