27. März 2009
Sicherheitslücken im Web-Browser Mozilla Firefox
Angesichts der Schwere der Lücken und der hohen Anzahl an installierten Firefox-Browsern bittet CERT.at um Beachtung der folgenden Hinweise.
Beschreibung
Die Mozilla Foundation plant, in einigen Tagen folgende schwere Sicherheitslücken zu beheben:
- Fehler in der XSLT-Komponente
- der bei der CanSecWest 2009 - Konferenz entdeckte sog. "pwn2own"-Bug
Auswirkungen
Es existiert bereits Proof-of-Concept - Code für den XSLT-Fehler, der den Browser abstürzen lässt, vermutlich kann diese Lücke zum Ausführen beliebigen Schadcodes ausgenutzt werden.
Der sog. "pwn2own"-Bug wurde bei der CanSecWest 2009 - Konferenz benutzt, um Code in den Browser einzuschleusen und in dessen Kontext auszuführen.
Betroffene Systeme
Laut dem Bug-Tracking-System der Mozilla Foundation sind folgende Produkte und Versionen betroffen:
- Firefox 3.0.x bis inkl. Version 3.0.7
Abhilfe
Update auf die aktuelle Version 3.0.8, sobald verfügbar - voraussichtlich um den 31.3./1.4. herum
Hinweis
Generell empfiehlt CERT.at, wo möglich die "automatisches Update"-Features von Software zu nutzen, parallel Firewall-Software aktiv und den Virenschutz aktuell zu halten.
Informationsquelle(n):Bug bei der Mozilla Foundationhttps://bugzilla.mozilla.org/show_bug.cgi?id=485217Proof-of-Concepthttp://milw0rm.com/exploits/8285Mozilla Security Bloghttp://blog.mozilla.com/security/2009/03/26/cansecwest-2009-pwn2own-exploit-and-xsl-transform-vulnerability/Meldung bei Heise Security (deutsch)http://www.heise.de/security/Exploit-fuer-ungepatchte-Luecke-in-Firefox--/news/meldung/135284