Als vor wenigen Tagen die ersten Berichte über eine neue Sicherheitslücke im Firefox die Runde machten, glaubte man bei Mozilla noch an ein rein theoretisches Problem mit geringem realen Gefährdungspotential. Eine Einschätzung, die man mittlerweile revidieren musste, Mozilla-Sicherheitschefin Window Snyder verkündet , dass man die Sicherheitslücke nun mit der Gefährdungsstufe "hoch" einstuft.

Background

Das Problem liegt dabei im Zusammenspiel mit so manchen Erweiterungen: Liegen diese nicht als .jar-Archiv vor, reißen sie eine Sicherheitslücke auf. So demonstriert der Entdecker des Problems, Gerry Eisenhaur in einem Blog-Eintrag, dass es mittels manipulierter HTML-Tags möglich ist, den Inhalt der sessionstore.js-Datei auszulesen. Dadurch könnten AngreiferInnen zu Informationen über die aktuell offenen Tabs aber auch über Cookies kommen.

Abhilfe

Einen offiziellen Fix für das Problem gibt es bisher noch nicht, allerdings soll in den kommenden Tagen der Firefox 2.0.0.12 veröffentlicht werden, der den Bug beseitigt. Bis dahin hilft die Installation der NoScript-Erweiterung, die entsprechende Attacken ins Leere laufen lässt. (apo)