[Warning] Sicherheitslücke im Web-Browser Mozilla Firefox
Robert Waldner
waldner at cert.at
Tue Jul 14 23:48:50 CEST 2009
Sicherheitslücke im Web-Browser Mozilla Firefox
14. Juli 2009
Sicherheitslücke im Web-Browser Mozilla Firefox
Angesichts der Schwere der Lücke und der großen Anzahl an
installierten Firefox-Browsern bittet CERT.at um Beachtung der
folgenden Hinweise.
Beschreibung
Die Mozilla Foundation [1]berichtet, daß eine schwere
Sicherheitslücken im Just-In-Time (JIT) JavaScript Compiler gefunden
wurde. Dieser kann es Angreifern ermöglichen, über speziell
präparierte Webseiten beliebigen Schadcode auf dem System
auszuführen.
Auswirkungen
Da über diese Lücke bereits öffentlich berichtet wird, ist zu
erwarten, daß bald die ersten entsprechend präparierten Webseiten
auftauchen und zB per Spam-Mail verbreitet werden.
Betroffene Systeme
Firefox-Browser Version 3.5
Abhilfe
Update auf die aktuelle Version, sobald verfügbar.
Als Workaround kann die JIT-Komponente des JavaScript-Compilers[2]
vorübergehend deaktiviert werden, jedoch mit negativen
Auswirkungen auf die JavaScript-Performance.
Weiters besteht natürlich auch die Möglichkeit, JavaScript komplett
zu deaktivieren.
Hinweis
Generell empfiehlt CERT.at, wo möglich die "automatisches
Update"-Features von Software zu nutzen, parallel Firewall-Software
aktiv und den Virenschutz aktuell zu halten.
__________________________________________________________________
Informationsquelle(n):
Mozilla Security Blog
[3]http://blog.mozilla.com/security/2009/07/14/critical-javascript-vuln
erability-in-firefox-35/
Meldung beim Internet Storm Center, isc.sans.org
[4]http://isc.sans.org/diary.html?storyid=6796
References
1.
http://blog.mozilla.com/security/2009/07/14/critical-javascript-vulnerability-in-firefox-35/
2.
http://blog.mozilla.com/security/2009/07/14/critical-javascript-vulnerability-in-firefox-35/
3.
http://blog.mozilla.com/security/2009/07/14/critical-javascript-vulnerability-in-firefox-35/
4. http://isc.sans.org/diary.html?storyid=6796
-------------- next part --------------
A non-text attachment was scrubbed...
Name: signature.asc
Type: application/pgp-signature
Size: 252 bytes
Desc: OpenPGP digital signature
URL: <http://lists.cert.at/pipermail/warning/attachments/20090714/c837a680/attachment.sig>
More information about the Warning
mailing list