Erste kritische Sicherheitslücke in Firefox 3
Keine Ahnung, ob hier jemand auch so richtig spitz auf den neuen Firefox 3 gewesen ist - und sich unbedingt an dem Download-Rekord beteiligen musste.
Es ist aber wohl nicht immer gut, gleich als erster die aktuellste Software zu benutzen. Frei nach Murphy's Law: Wenn etwas schief gehen wird, wird es auch schiefgehen.
Dummerweise ist wohl auch die Version 2.x betroffen. Hoffentlich gibts für beide Versionen bald ein Update.
Zitat:
Das fängt ja gut an: Nur fünf Stunden nach dem offiziellen Release von Firefox 3 am 17. Juni will die Zero Day Initiative (ZDI) einen Fehlerbericht über eine kritische Sicherheitlücke im neuesten Sprößling der Mozilla Foundation erhalten haben. Laut ZDI habe man die Lücke im Labor verifizieren können. Ein Angreifer könne dadurch mittels einer präparierten Webseite Schadcode in einen PC schleusen und mit den Rechten des Nutzers starten. Die Lücke soll sich zudem auch schon in Firefox 2 befinden.
Nähere Informationen gibt es dazu erst mal nicht, bis die Firefox-Entwickler ein Update vorgelegt haben. Die von den Herstellern 3Com und TippingPoint ins Leben gerufene Zero Day Initiative hält sich strikt an die Regeln der Responsible Disclosure und veröffentlicht Einzelheiten zu Schwachstellen erst, wenn ein Update zum Schließen der Lücke verfügbar ist. Ob die Lücke dennoch bereits aktiv ausgenutzt wird, ist nicht bekannt.
Öffentlich aufgefallen war das Problem zunächst durch den Firefox-Eintrag in der Liste der "Upcoming Advisories" auf den Seiten der ZDI. Dort sind alle Lücken festgehalten, über die ein Hersteller bereits informiert ist, für die aber noch kein Patch vorliegt. Derzeit finden sich alle namhaften Hersteller mehrfach in der Liste, wobei es sich überwiegend um kritische Lücken handelt. Eine scheint dabei besonders schwierig zu behandeln zu sein: Bereits seit 644 Tagen ist Microsoft eine kritische Lücke bekannt, ohne dass es dafür einen Patch gibt.
HeiseWas allerdings auch wieder ganz deutlich zeigt:
Hirn einschalten! Wer zum Surfen ein Benutzerkonto mit eingeschränkten Rechten verwendet, ist weniger gefährdet als jemand, der unnötigerweise mit Admin-Rechten im Internet unterwegs ist.