[Warning] Sicherheitslücke im Web-Browser Mozilla Firefox

Robert Waldner waldner at cert.at
Tue Jul 14 23:48:50 CEST 2009 

                Sicherheitslücke im Web-Browser Mozilla Firefox

   14. Juli 2009

   Sicherheitslücke im Web-Browser Mozilla Firefox

   Angesichts der Schwere der Lücke und der großen Anzahl an
   installierten Firefox-Browsern bittet CERT.at um Beachtung der
   folgenden Hinweise.

Beschreibung

   Die Mozilla Foundation [1]berichtet, daß eine schwere
   Sicherheitslücken im Just-In-Time (JIT) JavaScript Compiler gefunden
   wurde. Dieser kann es Angreifern ermöglichen, über speziell
   präparierte Webseiten beliebigen Schadcode auf dem System
   auszuführen.

Auswirkungen

   Da über diese Lücke bereits öffentlich berichtet wird, ist zu
   erwarten, daß bald die ersten entsprechend präparierten Webseiten
   auftauchen und zB per Spam-Mail verbreitet werden.

Betroffene Systeme

   Firefox-Browser Version 3.5

Abhilfe

   Update auf die aktuelle Version, sobald verfügbar.
   Als Workaround kann die JIT-Komponente des JavaScript-Compilers[2]
   vorübergehend deaktiviert werden, jedoch mit negativen
   Auswirkungen auf die JavaScript-Performance.
   Weiters besteht natürlich auch die Möglichkeit, JavaScript komplett
   zu deaktivieren.

Hinweis

   Generell empfiehlt CERT.at, wo möglich die "automatisches
   Update"-Features von Software zu nutzen, parallel Firewall-Software
   aktiv und den Virenschutz aktuell zu halten.
     __________________________________________________________________

   Informationsquelle(n):
   Mozilla Security Blog
   [3]http://blog.mozilla.com/security/2009/07/14/critical-javascript-vuln
   erability-in-firefox-35/
   Meldung beim Internet Storm Center, isc.sans.org
   [4]http://isc.sans.org/diary.html?storyid=6796

References

   1.
http://blog.mozilla.com/security/2009/07/14/critical-javascript-vulnerability-in-firefox-35/
   2.
http://blog.mozilla.com/security/2009/07/14/critical-javascript-vulnerability-in-firefox-35/
   3.
http://blog.mozilla.com/security/2009/07/14/critical-javascript-vulnerability-in-firefox-35/
   4. http://isc.sans.org/diary.html?storyid=6796

-------------- next part --------------
A non-text attachment was scrubbed...
Name: signature.asc
Type: application/pgp-signature
Size: 252 bytes
Desc: OpenPGP digital signature
URL: <http://lists.cert.at/pipermail/warning/attachments/20090714/c837a680/attachment.sig>

More information about the Warning mailing list