Sicherheitslücke in Firefox 3.6 gestopft

Für die bereits seit Anfang Februar bekannte Sicherheitslücke in Firefox 3.6 unter Windows gibt es mittlerweile einen Fix, der laut Mozilla-Blog in der für am 30. März geplanten Version 3.6.2 enthalten ist. Wer nicht so lange warten will, kann die aktuelle Beta dieser Version installieren.

Der Exploit erlaubt Angreifern aus der Ferne, die Kontrolle über einen PC zu bekommen. Secunia stuft das Problem in seinen Advisories als hochkritisch ein, das BürgerCERT empfiehlt die Nutzung anderer Browser, bis das Problem beseitigt ist.

Bekannt wurde die Sicherheitslücke, als der russische Sicherheitsdienstleister Intevydis seinen Kunden einen Windows-Exploit dafür zur Verfügung stellte. Intevydis verhält sich gegenüber Herstellern, in deren Produkten sie Sicherheitslücken entdecken, wenig auskunftsfreudig, und verkauft sein Wissen. Das erklärt die lange Zeit, die bis zum Fix des Firefox-Problems verstrichen ist. Der Entdecker Evgeny Legerov hatte mit seinem Fund zunächst angegeben ohne Details zu nennen, später aber die Mozilla-Entwickler kontaktiert. (ad)