Hacker wollen bisher unbekannte kritische Lücke im Firefox gefunden haben

3. Oktober 2006, 13:35
4 Postings

Präsentation auf Hacker-Konferenz demonstriert Bug in der Javascript-Implementation - Keine Zusammenarbeit mit Mozilla-Projekt

Nicht alle, die nach Sicherheitslücken in Webbrowsern suchen, sind auch an der Behebung der Fehler interessiert: Die zwei Hacker Mischa Spiegelmock und Andrew Wbeelsoi haben im Rahmen der ToorCon-Konferenz einen Bug im Firefox demonstriert, über den sich angeblich nur beim Ansurfen einer Webseite Code einschmuggeln lässt, dies berichtet CNET.

Exploit

Der Fehler soll sich in der Javascript-Implementation des Browsers befinden, im Rahmen der Präsentation zeigte Spiegelmock - der im echten Leben für die Weblog-Plattform SixApart arbeitet - Teile eines angeblichen, funktionstüchtigen Exploits. Die zwei Hacker sparten auch nicht mit Kritik am Mozilla-Projekt: Die Javascript-Engine sei ein einziges Durcheinander, das kaum zu bereinigen sei.

Reaktion

Laut der Sicherheitschefin des Mozilla-Projekts, Window Snyder, könnte es sich dabei tatsächlich um eine echte Lücke handeln, man sehe sich das Ganze derzeit an. Die gezeigten Code-Ausschnitte könnten auch ausreichend sein, um den Fehler aufzuspüren, so Snyder.

Unkooperativ

Dass man auf solche Weise nach dem Problem suchen muss, liegt daran, dass die Hacker eine Zusammenarbeit mit dem Mozilla-Projekt verweigern. Da nutzten auch die Appelle eines anwesenden Mozilla-Entwicklers nicht, doch lieber die ausgelobten 500 US-Dollar pro gefundener Sicherheitslücke zu kassieren und so zur Verbesserung der Sicherheit der Software beizutragen. Man sei sich der Problematik durchaus beweist, heißt es, allerdings sehe man es als wichtiger an mittels solcher Lücken ein "Kommunikationsnetzwerk für Hacker" aufzuziehen.

Behauptungen

Selbst wenn es dem Mozilla-Projekt gelingt das Problem zu beheben, sehen die beiden noch keine Gefahr für ihre Unternehmungen: Man wisse noch von rund 30 weiteren - bisher ungepatchten - Sicherheitslücken im Firefox. (red)

Share if you care.