Mit dem Ende letzter Woche erschienenen Update auf Firefox 3.5.1 hatte Mozilla mehrere, teils kritische Sicherheitslücken geschlossen. Am Wochenende kamen dann jedoch Berichte auf, wonach auch Version 3.5.1 noch über die Sicherheitslücke verfügt, mit der bei einem Angriffen ein Speicherüberlauf erzielt werden kann. Auch jenen Fehler stufte die National Vulnerability Database als kritisch ein, recht schnell gab es einen angeblichen Demonstrations-Exploit um vorzuführen, wie die Sicherheitslücke auszunutzen wäre. Mozilla dementiert diese Angaben hingegen und hält die Schilderungen für übertrieben. In den letzten beiden Tagen sei nicht korrekt über den Fehler berichtet werden.
Die eigenen Analysen haben ergeben, dass zwar ein Fehler in diesem Bereich vorliegt, es jedoch nicht möglich ist, darüber schädlichen Code ins System einzuschleusen. Zwar könne man in der Tat Firefox zum Absturz bringen, Möglichkeiten zur Einbringung von Code bestehen jedoch nicht, da der Absturz unmittelbar nach der Eingabe des überlangen Unicode-Strings auftritt. Angeblich können auch Apple-Programme von diesem Fehler betroffen sein, Mozilla hat Apple bereits über die fehlerhafte Verarbeitung der genannten Strings informiert.

Weiterführende Links:

• blog.mozilla.com