Kritischer Firefox Bug entdeckt
Auf der Hacker-Konferenz ToorCon zeigten die beiden Referenten Mischa Spiegelmock und Andrew Wbeelsoi, wie der als sichere Alternative zum Internet Explorer gehandelte Mozilla Browser Firefox durch einfaches Surfen auf einer präparierten Webseite als Scheunentor für Hacker mißbraucht werden kann.
Auf der sich zum achten mal wiederholenden Hacker-Konferenz ToorCon in San Diego zeigten die beiden Security-Experten Mischa Spiegelmock und Andrew Wbeelsoi, dass nicht nur Microsofts Internet Explorer sondern auch der als sicher geltende Mozilla Firefox Browser zur Eingangstür für Malware und Hacker werden kann. Die gefundene und auf der ToorCon in der Praxis demonstrierte Sicherheitslücke nutzt einen Fehler in der JavaScript-Engine des Browsers aus. Demnach reicht es, mit dem Firefox.Browser eine speziell präparierte Webseite anzusteuern, um den Bug auszulösen und damit das Sysstem für Angreifer zu öffnen.
Das Problem bei dieser Sicherheitslücke ist, dass JavaScript auf einer in zehn Jahren gewachsenen und immer wieder veränderten Engine läuft. Diesen Bug zu eliminieren werde deshalb länger dauern, meinte Window Snyder, Mozillas Security Chef, als er die Aufzeichnung der Konferenz sah. Man würde sich aber sofort darum kümmern. Allerdings, bemängelte Snyder, wäre die Präsentation und die Folien “so praxisnah” gewesen, dass danach jeder halbwegs talentierte Programmierer eine entsprechend präparierte Webseite bauen könne.
Bis zum Fix der Problematik empfiehlt Security-Professionell.de das Plugin NoScript, mit dem JavaScripts nur für vertrauenswürdige Seiten zugelassen wird. [ib]