Tom Ferris, tätig in der IT-Sicherheitsbranche, hat das Entwickler-Team des Mozilla Firefox vorgeblich über eine neue Sicherheitslücke in ihrem Produkt informiert, wovon sowohl Firefox 1.0.6 und Vorgängerversionen, als auch die heute herausgegebene Beta 1.5 betroffen sei.

Schon durch eine Zeile HTML-Code könne ein Bufferoverflow (Wiki) erzeugt werden, welcher dem Angreifer schließlich die Ausführung von beliebigem Programmcode auf dem System ermöglicht. Die Schuld sucht Ferris in den Anker-Tags, die eigentlich für Verweise zu anderen Seiten oder Präsenzen verwendet werden (Link). Sind aber in einem langem Link Bindestriche, ganz egal ob außergewöhnlich viele, ist der PC wie beschrieben schutzlos.

Einen Patch beziehungsweise eine neue Version des Web-Browsers, die die kritische Schwachstelle behebt, gibt es bislang nicht. Mozilla sei sich noch nicht einig, wie man das Leck ausmerzen könnte. Der Sicherheitsspezialist Tom Ferris hat bereits zuvor einige Sicherheitslücken aufgedeckt, unter anderem in Produkten von Microsoft, zum Beispiel in Internet Explorer.

Security Advisory: www.security-protocols.com

Vielen Dank an die zahlreichen News-Einsender!

Update (10.09.2005): Die Programmierer von Mozilla haben mittlerweile ein Workaround und eine Erweiterung, die den oben beschriebenen Fehler behebt, herausgegeben.