Firefox 3.6: Exploit für Sicherheitslücke veröffentlicht

Hallo Zusammen!
Wie jetzt bekannt wurde, hat der aktuelle Firefox 3.6 ein grosses Sicherheitsproblem!

Angriff über einen Buffer-Overflow ermöglicht Übernahme eines Rechners.

Eine Schwachstelle in der aktuellen Version 3.6 des Browsers Firefox erlaubt die Übernahme eines Rechners über einen Angriff aus der Ferne. Die Mozilla-Entwickler haben bislang noch keinen Patch für die Sicherheitslücke veröffentlicht.

Der russische Sicherheitsexperte Evgeny Legerov vom Unternehmen Intevydis erklärt, der Exploit funktioniere auf Rechnern mit den Betriebssystemen Windows XP mit Service Pack 3 und Vista. Der Angriff erfolgt über einen Buffer Overflow. Mozilla-Entwickler haben die Veröffentlichung zur Kenntnis genommen, aber noch keine Stellungnahme veröffentlicht oder einen Patch in Aussicht gestellt.

Der von Legerov entwickelte Exploit wurde bereits als Modul in dem kostenpflichtigen Addon Vulndisco für das kommerzielle Exploit-Toolkit Canvas des Unternehmens Immunity eingepflegt. Das Unternehmen Secunia, das regelmäßig Informationen über 0-Day-Exploits veröffentlicht, wertet die neue Schwachstelle als kritisch.

Es wäre einer der seltenen Fälle, in denen ein 0-Day-Exploit zu Mozillas Browser Firefox vor der Veröffentlichung eines entsprechenden Patches bekanntwurde. In ihrer Stellungnahme äußern die Mozilla-Entwickler auch verhaltene Kritik an dem russischen Sicherheitsunternehmen: "Wir schätzen die Beiträge aller Sicherheitsexperten und ermutigen sie, mit uns innerhalb unseres Sicherheitsprozesses zu arbeiten. Verantwortungsvolle Veröffentlichungen von Schwachstellen sollen die höchstmögliche Sicherheit für unsere Benutzer gewährleisten.". (jt)


Quelle: Golem.de Firefox 3.6: Exploit für Sicherheitslücke veröffentlicht - Golem.de

Gruss Clusterhead

 

Gut das ich Windows 7 habe. :D

Aber was bedetuet eigentlich "Übernahme eines Rechners" muss ich mir Vorstellen das der jenige nur meine Dateien etc. sieht oder kann er mein PC steuern, d.h. ich seh das die Maus sich selbst bewegt etc.?

 

Hallo!
Defakto könnte er mit dem übernommenen Rechner machen was er will. Daten löschen, kopieren, Deinen Rechner als Bot einsetzen, Passwörter falls gespeichert auslesen, etc. Die Möglichkeiten Deinen Rechner zu missbrauchen, wären bei einer vollständigen Übernahme gross.

Gruss Clusterhead

 

Dann ist das aber kein Fehler im Firefox, sondern in Windows. Denn wenn die Schwachstelle nur bei Windows XP auftritt, was hat der Firefox dann damit zu tun? Die selbe Lücke müsste ja dann in ALLEN Firefoxversionen unter Windows auftreten, denn schliesslich kommen die aus ein und dem selben Code.

 

Also FF3.6 auf WinXP Sp3 erstmal nicht benutzen ???

 

Raten sie mit Sicherheit nicht, es sei denn hast einen Link WO das steht.

 

Und wie Protector geschrieben hat, ist das nur einer der unzähligen Bugs in Windows, nicht in Firefox.
[ot]Die Firefox-Entwickler können sich bei Release des Patches also sicher sein, dass FF wieder besser als Opera ist :fresse[/ot]

 

mh der exploit kommt doch dann nur zutage, wenn der User auf die Seiten geht, welche den Exploit benutzten?

dann liegt es wie oft lediglich am User, der die Sicherheit seines Systems bestimmt