Im Rahmen eines Vortrags auf der Hacker-Konferenz Toorcon haben Mischa Spiegelmock und Andrew Wbeelsoi einen angeblich kritischen Fehler in der JavaScript-Implementierung von Firefox demonstriert. Über ihn soll eine Web-Seite Code ins System eines Besuchers einschleusen und ausführen können. Verwundbar seien außer der Windows- auch die Linux- und Mac-OS-X-Versionen des Open-Source-Browsers.
Die beiden Vortragenden machen sich offensichtlich einen Spaß daraus, die bösen Jungs zu spielen. So weigern sie sich, dem Mozilla-Team die notwendigen Informationen bereitzustellen, den Fehler zu lokalisieren. Außerdem hätten sie US-amerikanischen Medienberichten zufolge angeblich weitere 30 Bugs in Firefox gefunden, die sie aber geheim halten wollen. Wbeelsoi wird dabei mit der Aussage zitiert, er wolle zum Wohl des Internet Kommunikationsstrukturen für Black Hats aufbauen ("what we're doing is really for the greater good of the Internet, we're setting up communication networks for black hats").
Das Mozilla-Team geht unterdessen der Sache nach und hat sich über ein Blog die Folien der Präsentation besorgt. Ohne eine genaue Beschreibung oder wenigstens eine Demonstration, an der sich der Fehler nachvollziehen ließe, können sie jedoch derzeit nicht einmal bestätigen, ob die Aussagen korrekt sind.
Wer sich vorsichtshalber gegen Sicherheitsrisiken im Zusammenhang mit JavaScript schützen will, kann in Mozilla und Firefox die Erweiterung Noscript installieren und damit dessen Ausführung auf vertrauenswürdige Seiten beschränken.
Siehe dazu auch:
* Eintrag in der Fehlerdatenbank von Mozilla
Quelle und Links :
http://www.heise.de/security/news/meldung/78943
