Deutsch | English

Sicherheitslücken im Web-Browser Mozilla Firefox

27. März 2009

Sicherheitslücken im Web-Browser Mozilla Firefox

Angesichts der Schwere der Lücken und der hohen Anzahl an installierten Firefox-Browsern bittet CERT.at um Beachtung der folgenden Hinweise.

Beschreibung

Die Mozilla Foundation plant, in einigen Tagen folgende schwere Sicherheitslücken zu beheben:
  • Fehler in der XSLT-Komponente
  • der bei der CanSecWest 2009 - Konferenz entdeckte sog. "pwn2own"-Bug

Auswirkungen

Es existiert bereits Proof-of-Concept - Code für den XSLT-Fehler, der den Browser abstürzen lässt, vermutlich kann diese Lücke zum Ausführen beliebigen Schadcodes ausgenutzt werden.
Der sog. "pwn2own"-Bug wurde bei der CanSecWest 2009 - Konferenz benutzt, um Code in den Browser einzuschleusen und in dessen Kontext auszuführen.

Betroffene Systeme

Laut dem Bug-Tracking-System der Mozilla Foundation sind folgende Produkte und Versionen betroffen:
  • Firefox 3.0.x bis inkl. Version 3.0.7

Abhilfe

Update auf die aktuelle Version 3.0.8, sobald verfügbar - voraussichtlich um den 31.3./1.4. herum

Hinweis

Generell empfiehlt CERT.at, wo möglich die "automatisches Update"-Features von Software zu nutzen, parallel Firewall-Software aktiv und den Virenschutz aktuell zu halten.
Informationsquelle(n):

Bug bei der Mozilla Foundation
https://bugzilla.mozilla.org/show_bug.cgi?id=485217
Proof-of-Concept
http://milw0rm.com/exploits/8285
Mozilla Security Blog
http://blog.mozilla.com/security/2009/03/26/cansecwest-2009-pwn2own-exploit-and-xsl-transform-vulnerability/
Meldung bei Heise Security (deutsch)
http://www.heise.de/security/Exploit-fuer-ungepatchte-Luecke-in-Firefox--/news/meldung/135284
Email: reports@cert.at
Tel.: +43 1 5056416 78
mehr ...
Kritische Lücke in verbreiteter Webshop-Software Magento - keine Updates verfügbar
14. April 2017 | Wie ...
Update: Kritische Lücke in Microsoft Office ermöglicht Remote Code Execution - Patches nun verfügbar
10. April 2017 | Update ...
mehr ...
Wartungsarbeiten Donnerstag, 20. 4. 2017
18. April 2017 | Am Donnerstag ...
Workaround? Abdrehen!
21. März 2017 | Langsam ...
mehr ...
Jahresbericht 2016
Ein Resumee zur digitalen Sicherheitslage in Österreich

(HTML, PDF).
Letzte Änderung: 2013/7/17 - 17:00:08
Haftungsausschluss