[Warning] Sicherheitslücken im Web-Browser Mozilla Firefox

Robert Waldner waldner at nic.at
Fri Mar 27 13:10:13 CET 2009 

               Sicherheitslücken im Web-Browser Mozilla Firefox

   27. März 2009

   Sicherheitslücken im Web-Browser Mozilla Firefox

   Angesichts der Schwere der Lücken und der hohen Anzahl an
   installierten Firefox-Browsern bittet CERT.at um Beachtung der
   folgenden Hinweise.

Beschreibung

   Die Mozilla Foundation plant, in einigen Tagen folgende schwere
   Sicherheitslücken zu beheben:
     * Fehler in der XSLT-Komponente
     * der bei der CanSecWest 2009 - Konferenz entdeckte sog.
       "pwn2own"-Bug

Auswirkungen

   Es existiert bereits Proof-of-Concept - Code für den XSLT-Fehler, der
   den Browser abstürzen lässt, vermutlich kann diese Lücke zum
   Ausführen beliebigen Schadcodes ausgenutzt werden.
   Der sog. "pwn2own"-Bug wurde bei der CanSecWest 2009 - Konferenz
   benutzt, um Code in den Browser einzuschleusen und in dessen Kontext
   auszuführen.

Betroffene Systeme

   Laut dem Bug-Tracking-System der Mozilla Foundation sind folgende
   Produkte und Versionen betroffen:
     * Firefox 3.0.x bis inkl. Version 3.0.7

Abhilfe

   Update auf die aktuelle Version 3.0.8, sobald verfügbar -
   voraussichtlich um den 31.3./1.4. herum

Hinweis

   Generell empfiehlt CERT.at, wo möglich die "automatisches
   Update"-Features von Software zu nutzen, parallel Firewall-Software
   aktiv und den Virenschutz aktuell zu halten.
     _________________________________________________________________

   Informationsquelle(n):
   Bug bei der Mozilla Foundation
   [1]https://bugzilla.mozilla.org/show_bug.cgi?id=485217
   Proof-of-Concept
   [2]http://milw0rm.com/exploits/8285
   Mozilla Security Blog
  [3]http://blog.mozilla.com/security/2009/03/26/cansecwest-2009-pwn2own
   -exploit-and-xsl-transform-vulnerability/
   Meldung bei Heise Security (deutsch)
[4]http://www.heise.de/security/Exploit-fuer-ungepatchte-Luecke-in-Firefox--/news/meldung/135284

References

   1. https://bugzilla.mozilla.org/show_bug.cgi?id=485217
   2. http://milw0rm.com/exploits/8285
   3.
http://blog.mozilla.com/security/2009/03/26/cansecwest-2009-pwn2own-exploit-and-xsl-transform-vulnerability/
   4.
http://www.heise.de/security/Exploit-fuer-ungepatchte-Luecke-in-Firefox--/news/meldung/135284

-- 
/  Robert Waldner  |  <waldner at cert.at>   \
\ T: +43 1 5056416 | http://www.cert.at/  /

-------------- next part --------------
A non-text attachment was scrubbed...
Name: smime.p7s
Type: application/x-pkcs7-signature
Size: 3242 bytes
Desc: S/MIME Cryptographic Signature
URL: <http://lists.cert.at/pipermail/warning/attachments/20090327/f7799753/attachment-0002.bin>

More information about the Warning mailing list