Der russische Sicherheitsforscher Evgeny Legerov hat Anfang Februar eine Sicherheitslücke in der Version 3.6 des Firefox entdeckt. Betroffen sind anscheinend die Versionen unter Windows XP SP3 und Windows Vista. Das dänische Sicherheitsunternehmen Secunia hat den Fehler als kritisch eingestuft. Angeblich ermöglicht die Sicherheitslücke es Angreifern, Kontrolle über das System zu übernehmen.
Legerov äußerte sich in einem Forenbeitrag wie folgt:
Leute, die den Firefox-Exploit gesehen haben, stimmen mit mir überein: Es ist ein wirklich cooler Fehler und es war eine interessante Herausforderung, ihn zu finden und auszunutzen.
Genauer offengelegt wird die Lücke von Legerov bzw. von Intevydis, dem Arbeitgeber von Legerov, jedoch nicht. Intevydis bietet den Exploit jedoch als kostenpflichtiges Modul für das Vuln-Disco-Addon an, welches Bestandteil des Canvas Exploit Frameworks ist. Mozilla hat sich bisher noch nicht zu dem Fall geäußert.
Seit Firefox 3.5 gibt es bei mir eh nur noch Probleme und Abstürze mit dem Browser. ICH bin wieder umgestiegen auf einen anderen.
was gibt es denn noch so für gute browser ? bin auch nicht so richtig geil auf firefox...
Laut der News auf N-TV ist diese Meldung über ein Sicherheitsleck höchstwahrsheinlich ein Hoax.
Ntv berichtet, dass ein User der sich als Sicherheitsexperte ausgibt den Exploiz nachvollziehen wollte, dies aber nicht konnte. Dieser User geht davon aus, dass es sich um einen Hoax handelt.
Ich weß nicht ob man da von "höchstwahrscheinlich" sprechen kann. Zumal Symantec den Fehler als kritisch einstuft, dieser Aussage würde ich zunächst einmal mehr Vertrauen schenken.
Allerdings, denn wie gut dieser User nun ist weiß niemand und nur weil es einer nicht schafft, heißt das noch lange nicht, dass es andere nicht können. Hoffentlich behebt Mozilla diese Lücke schnell.
Einen hundertprozent sicheren Browser gibt es eben leider nicht. Ich bin aber wie alle gespannt, ob sich das Ganze nun als Hoax herausstellt oder tatsächlich existiert. Zumindest haben sich Legerov und Intevydis ins Gespräch gebracht. Mir waren die vorher nicht bekannt.
Übrigens liest sich diese Nachricht wie eine zusammengekürzte Version des Chip-Artikels. Vielleicht irre ich mich aber auch.
Ich bin auch gespannt wie sich die Sache weiterentwickelt. Der Chip-Artikel hat übrigens nicht das Zitat von Legerov drin, ich persönlich fand die zdnet News eigentlich informativer.