Mehrere Web-Browser von DoS-Schwachstellen betroffen
In den Webbrowsern Internet Explorer, Firefox, Opera und Chrome wurden Schwachstellen entdeckt, die sich ausnutzen lassen, um sie mittels präparierter Webseiten instabil zu machen oder zum Absturz zu bringen.
In den Web-Browsern Internet Explorer, Firefox, Opera und Chrome wurden Schwachstellen entdeckt, die sich ausnutzen lassen, um sie mit präparierten Webseiten instabil zu machen oder zum Absturz zu bringen. Die Schwachstellen in Firefox, Opera und Chrome wurden von der Gruppe EvilFingers entdeckt, die bereits durch zwei DoS-Lücken in Chrome bekannt wurden. Bei der nunmehr dritten DoS-Lücke in Chrome kann durch einen Fehler in der JavaScript-Funktion window.close ein Browserfenster ein Hauptfenster (Parent Windows) ohne Rückfrage schließen.
Allerdings gibt es noch Meinungsverschiedenheiten zwischen dem Entdecker des Fehlers und den Entwicklern, ob es sich wirklich um ein Sicherheitsproblem handelt oder nicht. Der Fehler soll allerdings behoben werden. Vom gleichen Problem ist auch Opera 9.52 betroffen. Der in Firefox 3.0.3 gefundene Fehler bringt indes den ganzen Browser zum Absturz. Schuld ist laut Beschreibung eine Null-Pointer-Dereference beim Dispatchen von Interface Events, also der Verarbeitung von Nutzeraktionen.
Die DoS-Lücke im Internet Explorer betrifft die Versionen 5, 6 sowie 7 und führt nur zu einer hohen Auslastung des Speichers, einen Absturz gab es in einem kurzen Test des Exploits durch heise Security nicht. Berichten zufolge soll der Exploit auch mit dem Konqueror 3.5.9 zum gleichen Effekt führen. Firefox und Opera zeigten sich hingegen unbeeindruckt, Chrome meldete immerhin, dass das Skript zu viel Speicherplatz verbraucht hätte.
Siehe dazu auch:
- EvilFingers advisory page , Liste der von EvilFingers gefundenen Fehler
- MS Internet Explorer 7 Denial Of Service Exploit, Bericht auf Bugtraq
(dab)
