[Warning] Sicherheitslücken im Web-Browser Mozilla Firefox
Robert Waldner
waldner at nic.at
Fri Mar 27 13:10:13 CET 2009
Sicherheitslücken im Web-Browser Mozilla Firefox
27. März 2009
Sicherheitslücken im Web-Browser Mozilla Firefox
Angesichts der Schwere der Lücken und der hohen Anzahl an
installierten Firefox-Browsern bittet CERT.at um Beachtung der
folgenden Hinweise.
Beschreibung
Die Mozilla Foundation plant, in einigen Tagen folgende schwere
Sicherheitslücken zu beheben:
* Fehler in der XSLT-Komponente
* der bei der CanSecWest 2009 - Konferenz entdeckte sog.
"pwn2own"-Bug
Auswirkungen
Es existiert bereits Proof-of-Concept - Code für den XSLT-Fehler, der
den Browser abstürzen lässt, vermutlich kann diese Lücke zum
Ausführen beliebigen Schadcodes ausgenutzt werden.
Der sog. "pwn2own"-Bug wurde bei der CanSecWest 2009 - Konferenz
benutzt, um Code in den Browser einzuschleusen und in dessen Kontext
auszuführen.
Betroffene Systeme
Laut dem Bug-Tracking-System der Mozilla Foundation sind folgende
Produkte und Versionen betroffen:
* Firefox 3.0.x bis inkl. Version 3.0.7
Abhilfe
Update auf die aktuelle Version 3.0.8, sobald verfügbar -
voraussichtlich um den 31.3./1.4. herum
Hinweis
Generell empfiehlt CERT.at, wo möglich die "automatisches
Update"-Features von Software zu nutzen, parallel Firewall-Software
aktiv und den Virenschutz aktuell zu halten.
_________________________________________________________________
Informationsquelle(n):
Bug bei der Mozilla Foundation
[1]https://bugzilla.mozilla.org/show_bug.cgi?id=485217
Proof-of-Concept
[2]http://milw0rm.com/exploits/8285
Mozilla Security Blog
[3]http://blog.mozilla.com/security/2009/03/26/cansecwest-2009-pwn2own
-exploit-and-xsl-transform-vulnerability/
Meldung bei Heise Security (deutsch)
[4]http://www.heise.de/security/Exploit-fuer-ungepatchte-Luecke-in-Firefox--/news/meldung/135284
References
1. https://bugzilla.mozilla.org/show_bug.cgi?id=485217
2. http://milw0rm.com/exploits/8285
3.
http://blog.mozilla.com/security/2009/03/26/cansecwest-2009-pwn2own-exploit-and-xsl-transform-vulnerability/
4.
http://www.heise.de/security/Exploit-fuer-ungepatchte-Luecke-in-Firefox--/news/meldung/135284
--
/ Robert Waldner | <waldner at cert.at> \
\ T: +43 1 5056416 | http://www.cert.at/ /
-------------- next part --------------
A non-text attachment was scrubbed...
Name: smime.p7s
Type: application/x-pkcs7-signature
Size: 3242 bytes
Desc: S/MIME Cryptographic Signature
URL: <http://lists.cert.at/pipermail/warning/attachments/20090327/f7799753/attachment-0002.bin>
More information about the Warning
mailing list