14. Juli 2009
Sicherheitslücke im Web-Browser Mozilla Firefox
Angesichts der Schwere der Lücke und der großen Anzahl an installierten Firefox-Browsern bittet CERT.at um Beachtung der folgenden Hinweise.
Beschreibung
Die Mozilla Foundation
berichtet, daß eine schwere Sicherheitslücken im Just-In-Time (JIT) JavaScript Compiler gefunden wurde. Dieser kann es Angreifern ermöglichen, über speziell präparierte Webseiten beliebigen Schadcode auf dem System auszuführen.
Auswirkungen
Da über diese Lücke bereits öffentlich berichtet wird, ist zu erwarten, daß bald die ersten entsprechend präparierten Webseiten auftauchen und zB per Spam-Mail verbreitet werden.
Betroffene Systeme
Firefox-Browser Version 3.5
Abhilfe
Update auf die aktuelle Version, sobald verfügbar.
Als Workaround kann die JIT-Komponente des JavaScript-Compilers
vorübergehend deaktiviert werden, jedoch mit negativen Auswirkungen auf die JavaScript-Performance.
Weiters besteht natürlich auch die Möglichkeit, JavaScript komplett zu deaktivieren.
Hinweis
Generell empfiehlt CERT.at, wo möglich die "automatisches Update"-Features von Software zu nutzen, parallel Firewall-Software aktiv und den Virenschutz aktuell zu halten.
Informationsquelle(n):Mozilla Security Bloghttp://blog.mozilla.com/security/2009/07/14/critical-javascript-vulnerability-in-firefox-35/Meldung beim Internet Storm Center, isc.sans.orghttp://isc.sans.org/diary.html?storyid=6796