Auf der sich zum achten mal wiederholenden Hacker-Konferenz ToorCon in San Diego zeigten die beiden Security-Experten Mischa Spiegelmock und Andrew Wbeelsoi, dass nicht nur Microsofts Internet Explorer sondern auch der als sicher geltende Mozilla Firefox Browser zur Eingangstür für Malware und Hacker werden kann. Die gefundene und auf der ToorCon in der Praxis demonstrierte Sicherheitslücke nutzt einen Fehler in der JavaScript-Engine des Browsers aus. Demnach reicht es, mit dem Firefox.Browser eine speziell präparierte Webseite anzusteuern, um den Bug auszulösen und damit das Sysstem für Angreifer zu öffnen.

Das Problem bei dieser Sicherheitslücke ist, dass JavaScript auf einer in zehn Jahren gewachsenen und immer wieder veränderten Engine läuft. Diesen Bug zu eliminieren werde deshalb länger dauern, meinte Window Snyder, Mozillas Security Chef, als er die Aufzeichnung der Konferenz sah. Man würde sich aber sofort darum kümmern. Allerdings, bemängelte Snyder, wäre die Präsentation und die Folien “so praxisnah” gewesen, dass danach jeder halbwegs talentierte Programmierer eine entsprechend präparierte Webseite bauen könne.

Bis zum Fix der Problematik empfiehlt Security-Professionell.de das Plugin NoScript, mit dem JavaScripts nur für vertrauenswürdige Seiten zugelassen wird. [ib]