DoS-Leck in fast allen Browsern

BrowserSicherheitSicherheitsmanagementWorkspace

Das Leck ist nicht nur in Desktop-Browsern zu finden, sondern auch auf Handys und Spielekonsolen. Die Auswirkungen reichen vom Absturz des Browsers bis hin zum Absturz des kompletten Systems.

Wie das Security Advisory der luxemburgischen Firma G-Sec zeigt, ist das Leck eigentlich recht simpel gestrickt. Der Aufruf der Funktion select() mit einem großen Integer-Wert sorgt dafür, dass große Mengen Speicher belegt werden – so lange, bis irgendwann der Browser oder das komplette System abstürzen.

In einigen Browsern wie Firefox, Safari und Opera wurde das Problem bereits behoben, allerdings ist beispielsweise die Opera-Version auf der Nintendo Wii noch nicht aktualisiert. Auch Sonys Playstation 3 ist noch gefährdet, ebenso wie verschiedene Nokia-Handys, alle Versionen des Internet Explorers und offenbar auch Konquerer.

Unter Ubuntu führt das Problem in Konquerer zu System-Neustarts, da der Speicher voll läuft, das Speicher-Management aber nicht den verursachenden Prozess beendet. Stattdessen werden andere Prozesse abgeschossen und damit das Betriebssystem. Wii und PS3 hängen sich auf und benötigen einen Hard Reset – das gilt auch für das iPhone, allerdings nur mit älteren Safari-Versionen.

Auf dem PC führt das Leck beim Internet Explorer sowie älteren Versionen von Firefox (vor 2.0.0.19 und vor 3.0.5) und Chrome zum Browser-Absturz. Opera (vor 9.64) stürzt selbst zwar nicht ab, allerdings werden andere Anwendungen instabil. (Daniel Dubsky)