Morgen, Kinder, wird's was geben: Zero-Day Exploit für Firefox 3.6

Der russische Sicherheitsdienstleister Intevydis hat seinen Kunden einen Windows-Exploit für eine bislang unbekannte Sicherheitslücke in Firefox 3.6 zur Verfügung gestellt. Der Exploit erlaubt Angreifern aus der Ferne, die Kontrolle über einen PC zu bekommen. Intevydis ist der Hersteller des kommerziellen Add-ons VulnDisco für das ebenfalls kommerzielle Exploit-Toolkit Canvas des Herstellers Immunity. Der Entwickler Evgeny Legerov preist seinen Exploit für Windows XP (SP3) und Vista im Partner-Forum von Immunity als ziemlich zuverlässig an. Es sei eine Herausforderung gewesen, den Fehler – ein Buffer Overflow – zu finden und auszunutzen.

Das Posting stammt zwar von Anfang Februar, da es aber bislang keine Updates für Firefox 3.6 gab, dürfte die Lücke noch offen sein. Secunia stuft das Problem in seinen Advisories als kritisch ein, hält aber keine weiteren Informationen bereit. Mittlerweile ist die Mozilla Foundation auf das Problem aufmerksam geworden, hat aber noch keine offizielle Stellungnahme dazu veröffentlicht. Ob der Exploit bereits weitere Verbreitung gefunden hat oder im größeren Stil ausgenutzt wird, ist nicht bekannt. Allerdings gibt es nach Analysen des Blogs Extraexploit eine signifikante Häufung von Abstürzen des Firefox 3.6 am 12. und 13. Februar. Unklar ist, ob dies in Zusammenhang mit Tests des Exploit steht. Welche Seiten die häufigsten Abstürze verursachen, ist in den Mozilla Crash Reports zu sehen.

Ganz nebenbei weist Legerov auch noch auf Zero-Day-Exploits für Lotus Notes 8.5/8.5fp1 sowie für den RealPlayer 11 hin. Der Exploit für den RealPlayer ist eine überarbeitete Fassung eines zwei Jahre alten Exploits, der eine erst vor kurzem geschlossene Lücke im RealPlayer ausnutzt.

Siehe dazu auch:

• Elf Lücken im RealPlayer geschlossen
• Kritische Lücke im RealPlayer

(dab)