Firefox stolpert über JavaScript (Update)

Laut einer Sicherheitsmeldung von Securident patzt der Open-Source-Browser Firefox bei der JavaScript-Anweisung iframe.contentWindow.focus(). Wenn Firefox auf bestimmte Konstrukte mit dieser Anweisung trifft, kann es zum Browserabsturz kommen. Die Entdecker der Schwachstelle gehen davon aus, dass es sich hierbei um einen Pufferüberlauf handelt, den Angreifer zum Ausführen von beliebigem Code nutzen könnten.

Betroffen ist Firefox in Version 1.5.0.2, zurzeit ist noch kein fehlerbereinigter Firefox-Build verfügbar. Abhilfe schafft das Abschalten der Unterstützung für JavaScript unter den Inhalteinstellungen im Extras-Menü, bis die Firefox-Entwickler einen Patch bereitstellen. Jedoch zeigt der Browser dann diverse Webseiten nicht mehr korrekt an.

Update:

Der Firefox-Entwickler Daniel Veditz bestätigte die Schwachstelle gegenüber heise Security. Die Lücke wurde Veditz zufolge am 18. April über das Bugtracking-System gemeldet. Die Entwickler testen zur Zeit einen Patch.

Das Problem entstehe durch die Wiederbenutzung eines bereits gelöschten Objektes. Dies ließe sich von Angreifern theoretisch zum Einschleusen von Schadcode ausnutzen, schreibt Veditz in seiner Stellungnahme. Jedoch sei dies weitaus schwieriger als bei einem Pufferüberlauf.

Siehe dazu auch: (dmk)

• Firefox Remote Code Execution and Denial of Service, Sicherheitsmeldung von Securident