Infos zur JScript-Lücke von Firefox

Aufgrund eines Fehlers in der Bearbeitung von Javascript können präparierte Webseiten auf dem PC eines Surfers beliebigen Code einschleusen. Secunia hat das Problem bei der Firefox-Version 3.5 bestätigt und als Highly Critical eingestuft. Die Entdecker des Exploits haben einen Beispielangriff inszeniert – das Samplescript soll den Windows-Taschenrechner starten.

Das Problem wird nach Angaben von Mozilla vom JIT-Compiler (Just in Time) für Java Script verursacht. Mozilla rät, den JIT über den Schalter javascript.options.jit.content in about:config zu deaktivieren. Dadurch sei das Problem nicht beseitigt aber fürs erste abgeschwächt.

Erste Tests von Heise haben ergeben, dass Firefox beim Aufruf des Milworm-Scripts unter Vista abstürzt, ohne dass der Windows-Taschenrechner startet. Auf meinem PC hält Firefox 3.5 unter Windows XP dem Milworm-Script sogar Stand und stürzt nicht ab. Zwar reagiert der Browser zunächst nicht. Nach kurzer Zeit erscheint jedoch die Warnmeldung Nicht antwortendes Script und mit einem Klick auf Skript stoppen lässt sich das Skript wieder beenden.

Update 1: Firefox 3.5.1 schließt die Sicherheitslücke.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.