Exploit für ungepatchte Lücke in Firefox

Die Mozilla-Foundation will kommende Woche die Firefox-Version 3.0.8 veröffentlichen, um eine kritische Lücke in ihrem Browser zu schließen. Bekannt geworden war die Lücke durch die Veröffentlichung eines Proof-of-Concept-Exploits am gestrigen Mittwoch durch den Sicherheitsspezialisten Guio Landi. Ursache des Problems ist ein Fehler bei der Verarbeitung fehlerhafter XML- beziehungsweise XSL-Dateien, die zu einem Speicherfehler führen.

Der Demo-Code von Landi verursachte zwar bei einem kurzen Test der heise-Security-Redaktion nur den Absturz des Browsers, offenbar lässt er sich aber in der nicht entschärften Version zum Einschleusen und Ausführen von Code ausnutzen. Dazu muss man aber nach Angaben des Autors Heap Spraying einsetzen, weshalb vermutlich das Deaktivieren von JavaScript kurzfristig Schutz vor echten Exploits bieten könnte.

Betroffen sind die Versionen 3.0 bis 3.0.7 auf allen Betriebssystemen. Die Firefox-Entwickler haben zwar bereits einen Patch entwickelt, der muss aber noch getestet werden. Der Fehler ist nach Meinung des Entwicklers Blake Kaplan eigentlich ziemlich offensichtlich – wenn man denn einmal richtig hingeschaut hat. Version 3.0.8 ist in den Release-Ankündigungen als "high-priority firedrill security update" vermerkt. (dab)