DVB-Cube <<< Das deutsche PC und DVB-Forum >>>

PC-Ecke => # Security Center => Thema gestartet von: SiLæncer am 04 April, 2005, 17:25

Titel: Mozilla und Firefox geben Inhalte des Speichers preis
Beitrag von: SiLæncer am 04 April, 2005, 17:25
Ein Fehler in der JavaScript-Implementierung der Websuite Mozilla und des Standalone-Webbrowsers Firefox offenbart Angreifern Teilinhalte des Hauptspeichers. Unter Umständen sind darin vertrauenswürdige Daten aus vorhergegangenen oder noch aktiven Browser-Sessions enthalten. Die Schwachstelle findet sich in der Replace()-Funktion. Bei Lambda-Expressions als zweitem Argument, also der Angabe einer Funktion statt eines Parameters, liefert die JavaScript-Engine noch Teile des Speichers hinter dem resultierenden String mit.

Der Sicherheitsdienstleister Secunia hat eine Demo zu der Schwachstelle auf seinen Seiten veröffentlicht, mit der Anwender prüfen können, ob ihr Browser verwundbar ist. Bei einem Test in der Redaktion von heise Security zeigte die Demo Teile eines zeitgleich geöffneten Fensters an, in der eine Online-Banking-Verbindung aktiv war -- unter anderem auch den Loginnamen.

Betroffen sind sowohl die Windows-Versionen von Firefox 1.0.1, 1.0.2 und Mozilla 1.7.6 als auch die Linux-Versionen. Laut Eintrag in der Mozilla-Fehlerdatenbank ist der Fehler in den gegenwärtigen Entwicklerversionen bereits behoben. Bis zur Veröffentlichung einer offiziellen Version hilft nur, JavaScript abzuschalten.

Laut des Bugzilla-Eintrags war der Fehler bereits 1997, also noch zu Netscape-Zeiten, bekannt. Zwar versuchte man ihn im Jahre 2000 zu korrigieren, wie sich jetzt herausstellte gelang dies aber nur zur Hälfte.

Quelle : www.heise.de
Titel: Re:Mozilla und Firefox geben Inhalte des Speichers preis
Beitrag von: Jürgen am 05 April, 2005, 00:50
Es wäre sicher auch eine gute Idee, beim Online-Banking nicht parallel auf anderen Seiten zu surfen oder zu mailen. Schön eines nach dem anderen, ausserdem vor und nach dem Banking den Browser schliessen.