Firefox und Thunderbird absturzgefährdet [Update]
Der Webbrowser Firefox und der Mail-Client Thunderbird lassen sich durch eine kurze Sequenz HTML-Code zum Absturz bringen.
Der Webbrowser Firefox und der Mail-Client Thunderbird verschlucken sich bei der Verarbeitung von HTML-Seiten beziehungsweise HTML-Mails an einer kurzen Zeile HTML-Code. Betroffen sind laut einer Meldung von Whitedust-Security alle Versionen einschlieĂźlich des aktuellen Firefox 1.0.7, sowie Thunderbird bis Version 1.0.6. Wie Tests von heise Security ergaben, sind jedoch auch Mozilla 1.7.12, sowie Thunderbird 1.0.7 betroffen.
Die weite Verbreitung des Problems in der Mozilla-Familie lässt vermuten, dass der Fehler in der Gecko-Engine liegt, die für die grafische Umsetzung der reinen HTML-Daten (Rendering) verantwortlich ist. Er lässt sich durch manipulierte Web-Seiten oder E-Mails für Denial-of-Service-Angriffe ausnutzen. Auslöser ist das -Tag, sobald dieses mit bestimmten anderen Tags, beispielsweise , verschachtelt wird. Dabei steigt die CPU-Last auf 100 Prozent und das Programm reagiert nicht mehr. Bisher sind uns weder ein Patch noch ein Workaround bekannt.
[b]Update:
Der Fehler ist offenbar seit Juni 2003 in der Fehlerdatenbank von Mozilla registriert, seit September 2004 gibt es einen Patch, der die Mozilla-spezifischen Tags und aus dem HTML-Parser entfernt. Dies wurde offenbar in den Vorabversionen von Firefox 1.5 und Mozilla 1.8 bereits umgesetzt, sodass diese nicht mehr anfällig sind.
Siehe dazu auch: (cr)
- Mozilla Firefox 1.0.7 DoS Exploit, Meldung auf Whitedust-Security