Gedankenstriche bringen Firefox aus dem Tritt

Im freien Browser Firefox ist jetzt in allen Versionen ein Sicherheitsleck aufgetaucht, über das Angreifer unbemerkt beliebigen Code auf einem Rechner ausführen können. Wie ein Sicherheitsforscher warnt, liegt das Problem in der Art und Weise wie der Browser längere Internetadressen verarbeitet, die Gedankenstriche enthalten.

Ursache für das Leck ist ein Buffer Overflow, wie Tom Ferris in einer Nachricht bekannt gibt. So seien die Version 1.0.6 und alle frühren Veröffentlichungen des Browser von dem Problem betroffen. Enthält eine Html-Datei einen Befehl wie ‘< A HREF=https: ———————————————  >’ dann werde diese lange Zeichenfolge in den Buffer geladen. In der Folge könne dann auch Code nachgeschoben werden.

Ferris habe am 4. September die Entwickler der Mozilla Foundation benachrichtigt. Ein Sprecher der Foundation bestätigte inzwischen, von dem Leck erfahren zu haben, kommentierte aber den Fehler nicht. Das Sicherheitsleck sei sehr leicht auszunutzen, denn ein Angreifer müsse lediglich eine Webseite mit entsprechenden Befehlen ins Netz stellen. Mit einigen Kniffen könne dann Code auf dem Rechner ausgeführt werden, der die manipulierte Seite geladen hat.

Parallel dazu hat die Mozilla Foundation jetzt die Beta-Version 1.5 des Browsers veröffentlicht. Bis Ende des Jahres ist dann die Vollversion geplant, die auch einige Verbesserungen bei der Sicherheit enthalten soll.