655 Mängel im Firefox-Quelltext - theoretisch

Klocwork, Hersteller des statischen Quelltext-Analyse-Tools K7, prüft derzeit prominente Open-Source-Projekte auf Code-Mängel und Sicherheitslücken. Bei dem wohl prominentesten Open-Source-Projekt Firefox förderte die Analyse 655 Mängel und 71 potenzielle Sicherheitslücken zutage.

Bei der Mehrzahl der Schwachstellen handelt es sich um sogenannte Null-Pointer-Dereferences, bei denen der Versuch, auf freigegebenen Speicher zuzugreifen, zum Programmsabsturz führt. Auf Platz zwei der Liste stehen Speicherlecks. Über die Sicherheitslücken wollte Klocwork keine näheren Angaben machen; die Entwickler wurden informiert.

Das Mozilla-Sicherheitsteam habe die Daten von Klocwork vor ein bis zwei Wochen erhalten, so Team-Mitglied Ben Bucksch. Bisher sei dadurch aber noch keine echte Sicherheitslücke gefunden worden. Ob ein statisches Analyse-Tool eine Schwachstelle aufgespürt oder einen Fehlalarm ausgelöst habe, lässt sich nicht so schnell sagen: "Die eigentliche Arbeit ist die Überprüfung dieser Stellen, und die kann wie jedes Code-Review sehr lange dauern", so Bucksch. Das Mozilla-Sicherheitsteam arbeite außerdem noch eine ähnliche Liste von Klocwork-Konkurrent Coverity ab.

Klocwork betont, dass "Firefox ein sehr gut geschriebenes und hochwertiges Stück Software ist". Bereits im Juni hatte die Firma ihr Tool auf andere Open-Source-Projekte wie XMMS, Amanda und Samba losgelassen. (heb)