Sicherheitslücke im Web-Browser Mozilla Firefox
14. Juli 2009
Sicherheitslücke im Web-Browser Mozilla Firefox
Angesichts der Schwere der Lücke und der großen Anzahl an installierten Firefox-Browsern bittet CERT.at um Beachtung der folgenden Hinweise.
Als Workaround kann die JIT-Komponente des JavaScript-Compilers vorübergehend deaktiviert werden, jedoch mit negativen Auswirkungen auf die JavaScript-Performance.
Weiters besteht natürlich auch die Möglichkeit, JavaScript komplett zu deaktivieren.
Informationsquelle(n):
Mozilla Security Blog
http://blog.mozilla.com/security/2009/07/14/critical-javascript-vulnerability-in-firefox-35/
Meldung beim Internet Storm Center, isc.sans.org
http://isc.sans.org/diary.html?storyid=6796
Beschreibung
Die Mozilla Foundation berichtet, daß eine schwere Sicherheitslücken im Just-In-Time (JIT) JavaScript Compiler gefunden wurde. Dieser kann es Angreifern ermöglichen, über speziell präparierte Webseiten beliebigen Schadcode auf dem System auszuführen.Auswirkungen
Da über diese Lücke bereits öffentlich berichtet wird, ist zu erwarten, daß bald die ersten entsprechend präparierten Webseiten auftauchen und zB per Spam-Mail verbreitet werden.Betroffene Systeme
Firefox-Browser Version 3.5Abhilfe
Update auf die aktuelle Version, sobald verfügbar.Als Workaround kann die JIT-Komponente des JavaScript-Compilers vorübergehend deaktiviert werden, jedoch mit negativen Auswirkungen auf die JavaScript-Performance.
Weiters besteht natürlich auch die Möglichkeit, JavaScript komplett zu deaktivieren.
Hinweis
Generell empfiehlt CERT.at, wo möglich die "automatisches Update"-Features von Software zu nutzen, parallel Firewall-Software aktiv und den Virenschutz aktuell zu halten.Informationsquelle(n):
Mozilla Security Blog
http://blog.mozilla.com/security/2009/07/14/critical-javascript-vulnerability-in-firefox-35/
Meldung beim Internet Storm Center, isc.sans.org
http://isc.sans.org/diary.html?storyid=6796