Browser

19.06.2008 09:43

Firefox 3.0: Erste kritische Sicherheitslücke entdeckt

Bereits kurz nach der Veröffentlichung der neuen Version 3.0 des freien Browsers Mozilla Firefox ist die erste schwerwiegende Sicherheitslücke in der überarbeiteten Version gefunden worden. Nach Angaben des Sicherheitsdienstleisters Tipping Point wurde die Schwachstelle innerhalb von fünf Stunden nach der Veröffentlichung erstmals gemeldet.

Tipping Point hat nach eigenen Angaben bereits die Entwickler des Browsers über die Problematik informiert. Zuvor wurde die Schwachstelle von den hauseigenen Spezialisten überprüft, so das Unternehmen. Sie war im Rahmen der so genannten Zero Day Initiative gemeldet worden, bei der die Entdecker von Schwachstellen für die exklusive Weitergabe ihrer Erkenntnisse an Tipping Point gut bezahlt werden.

Tipping Point veröffentlichte keine konkreten Angaben zu der Schwachstelle. Im Rahmen der Firmenpolitik lässt man den betroffenen Softwareherstellern Zeit, die Lücke zu schließen, und gibt erst dann ausführliche Informationen dazu an die Öffentlichkeit. Die Schwachstelle besteht nach Angaben des Unternehmens auch bei Firefox 2.0.

Der Sicherheitsdienstleister verriet darüber hinaus nur, dass für eine erfolgreiche Ausnutzung Nutzerinteraktion notwendig ist. Außerdem soll die Lücke einem Angreifer die Möglichkeit bieten, beliebigen Code auf dem System des Opfers auszuführen. Mozilla arbeitet angeblich bereits an der Beseitigung des Problems.

Tipping Point wurde wegen der Zero Day Initiative in der Vergangenheit bereits mehrfach heftig kritisiert. Unter anderem sollen die Entdecker von Schwachstellen wegen des Programms absichtlich verspätet Meldung erstatten, um mehr Geld dafür zu kassieren. Auch Microsoft gehört zu den Kritikern derartiger "Cash-for-Bugs"-Systeme.

Robert Hensing, Sicherheitsspezialist bei Microsoft, kommentierte in seinem Weblog, dass der Entdecker der Lücke das Problem wahrscheinlich schon vor langer Zeit entdeckt habe und dennoch bis zur Veröffentlichung der finalen Ausgabe von Firefox 3.0 wartete, um Geld dafür zu kassieren. Ethisch korrekt wäre es nach Ansicht von Hensing, die Schwachstelle sofort nach ihrer Entdeckung ohne Umwege an die Entwickler zu melden.

Roland Quandt

Weitere Nachrichten zum Thema

Nachricht versenden
Kommentieren
Hinweis einsenden

Diese Nachricht empfehlen:

[o1] am

(-1)

genau, jemand macht nen job und versucht dafür geld zu kassieren. und das wird von microsoft kritisiert. alles klar :o)

[re:1] am

@Matico: ... nicht nur von Microsoft.

[re:2] am

(-1)

@Matico: und als ob MS sich jemals "ethisch korrekt" verhalten würde. siehe vorletzte Zeile

[re:3] am

find ich mal sehr gut, dass die das gemeldet haben... nachm release schon ne sicherheitslücke. ff3 ftw! XD

[re:4] am

@Matico: Ziemlich einseitig, was du da geschrieben hast. Ansonsten siehe den Kommentar von swissboy. Auch ich kritisiere solche Machenschaften, obwohl die Grundidee nicht schlecht ist. Allerdings frage ich mich, warum die Lücke bei dem RC2 nicht schon aufgefallen ist. Dieser entspricht doch der final und ist schon länger erhältlich. Jetzt, kurz nach der Veröffentlichung der Final kommen die aufeinmal daher... sehr merkwürdig.

Alle Kommentare zu dieser News anzeigen

Schreiben Sie uns Ihre Meinung, bewerten Sie Kommentare oder diskutieren Sie mit anderen WinFuture.de Lesern!

Melden Sie sich jetzt kostenlos an

oder verwenden Sie Ihren bestehenden Zugang.

Benutzername oder Passwort vergessen?