[Update] (Keine) Sicherheitsheitslücke in Ciscos H.264-Modul für Firefox
Cisco hat eine Sicherheitswarnung wegen seines jüngst für Firefox bereitgestellten Video-Codecs herausgegeben. [update]Allerdings soll dies nicht die im aktuellen Webbrowser verwendete Version betreffen.[/update]
- Jürgen Seeger
Die OpenH.264-Bibliothek von Cisco weist eine Sicherheitslücke auf, die auf einer unvollständigen Prüfung des zu verarbeitenden Video-Streams beruht. Dadurch ist es nach Aussage des Netzwerkspezialisten möglich, Anwendungen, die Funktionen dieser Bibliothek nutzen, zum Absturz zu bringen oder Code einzuschleusen, der mit den Rechten der Anwendung ausgeführt wird.
Im Oktober dieses Jahres hatte Mozilla Ciscos Library zur Videodarstellung in Firefox integriert. Cisco hat ein Update veröffentlicht, das aber bislang noch nicht seinen Weg in die aktuelle Version 33.1 des Webbrowsers der Mozilla Foundation gefunden hat.
[Update] Laut übereinstimmender Aussage der Mozilla Foundation und von Cisco sind die aktuellen Firefox-Versionen nicht von dem Fehler betroffen, da dieser bereits in Version 1.1. behoben wurde. Quintessenz des Mozilla-Statements: "This leads me to the conclusion that the Cisco security alert should have said "versions prior to 1.1 are affected". It says 1.2 and below, which doesn't make a lot of sense. There is no version 1.2". Der Hinweis im folgenden Absatz kann ignoriert werden, er ist nur noch aus dokumentatischen Gründen Teil der Meldung.[/update]
Das Plug-in lässt sich in der Add-on-Verwaltung deaktivieren: Auf die drei waagrechte Striche oben rechts im Browser klicken, Add-ons auswählen und "Open H.264 Videocodec provided by Cisco" deaktivieren, wenn es sich um eine Version handelt, die nicht höher als 1.2.0 ist.
Firefox-Add-Ons (2 Bilder)
(js)