Firefox 3.0: Erste kritische Sicherheitslücke entdeckt

Browser Bereits kurz nach der Veröffentlichung der neuen Version 3.0 des freien Browsers Mozilla Firefox ist die erste schwerwiegende Sicherheitslücke in der überarbeiteten Version gefunden worden. Nach Angaben des Sicherheitsdienstleisters Tipping Point wurde die Schwachstelle innerhalb von fünf Stunden nach der Veröffentlichung erstmals gemeldet. Tipping Point hat nach eigenen Angaben bereits die Entwickler des Browsers über die Problematik informiert. Zuvor wurde die Schwachstelle von den hauseigenen Spezialisten überprüft, so das Unternehmen. Sie war im Rahmen der so genannten Zero Day Initiative gemeldet worden, bei der die Entdecker von Schwachstellen für die exklusive Weitergabe ihrer Erkenntnisse an Tipping Point gut bezahlt werden.

Tipping Point veröffentlichte keine konkreten Angaben zu der Schwachstelle. Im Rahmen der Firmenpolitik lässt man den betroffenen Softwareherstellern Zeit, die Lücke zu schließen, und gibt erst dann ausführliche Informationen dazu an die Öffentlichkeit. Die Schwachstelle besteht nach Angaben des Unternehmens auch bei Firefox 2.0.

Der Sicherheitsdienstleister verriet darüber hinaus nur, dass für eine erfolgreiche Ausnutzung Nutzerinteraktion notwendig ist. Außerdem soll die Lücke einem Angreifer die Möglichkeit bieten, beliebigen Code auf dem System des Opfers auszuführen. Mozilla arbeitet angeblich bereits an der Beseitigung des Problems.

Tipping Point wurde wegen der Zero Day Initiative in der Vergangenheit bereits mehrfach heftig kritisiert. Unter anderem sollen die Entdecker von Schwachstellen wegen des Programms absichtlich verspätet Meldung erstatten, um mehr Geld dafür zu kassieren. Auch Microsoft gehört zu den Kritikern derartiger "Cash-for-Bugs"-Systeme.

Robert Hensing, Sicherheitsspezialist bei Microsoft, kommentierte in seinem Weblog, dass der Entdecker der Lücke das Problem wahrscheinlich schon vor langer Zeit entdeckt habe und dennoch bis zur Veröffentlichung der finalen Ausgabe von Firefox 3.0 wartete, um Geld dafür zu kassieren. Ethisch korrekt wäre es nach Ansicht von Hensing, die Schwachstelle sofort nach ihrer Entdeckung ohne Umwege an die Entwickler zu melden.
Diese Nachricht empfehlen
Kommentieren45
Jetzt einen Kommentar schreiben


Alle Kommentare zu dieser News anzeigen
Kommentar abgeben Netiquette beachten!

Jetzt als Amazon Blitzangebot

Ab 05:15 Uhr Oehlbach Phaser Phasendetektor
Oehlbach Phaser Phasendetektor
Original Amazon-Preis
73,84
Im Preisvergleich ab
63,75
Blitzangebot-Preis
47,84
Ersparnis zu Amazon 35% oder 26

WinFuture Mobil

WinFuture.mbo QR-Code Auch Unterwegs bestens informiert!
Nachrichten und Kommentare auf
dem Smartphone lesen.

Folgt uns auf Twitter

WinFuture bei Twitter

Interessante Artikel & Testberichte

WinFuture wird gehostet von Artfiles

Tipp einsenden