In Firefox 3.6.12 wurde eine Security-Lücke entdeckt, die DoS-Attacken ermöglicht. Exploit-Code ist bereits öffentlicht verfügbar.
Die Schwachstelle in der aktuellen Firefox-Version 3.6.12 ermöglicht einen so genannten DoS-Angriff (Denial of Service) über das Internet. Damit können Kriminelle den Mozilla-Browser zum Stillstand bringen kann.
Das Internet Storm Center weist in seinem Blog auf die Veröffentlichung von Exploit-Code hin. Stephen Hall gibt an, der Exploit-Code sei bereits auf verschiedenen Web-Seiten zu finden. Er zeigt auch einen Screenshot eines dadurch verursachten Firefox-Absturzes unter Mac OS X 10.6.5. Die Schwachstelle basiert auf einem Überlauf eines Puffers. Der Overflow kann durch 20'000-faches Schreiben eines Zeichens per Javascript in eine HTML-Seite provoziert werden. Firefox zeigt eine Warnmeldung über ein nicht mehr reagierendes Script an. Zu diesem Zeitpunkt kann der Anwender die Script-Ausführung vermeintlich noch stoppen. Doch der entsprechende Dialog, den Firefox anzeigt, führt nicht mehr zum gewünschten Ergebnis, der Browser ist nicht mehr benutzbar. Auch ältere Firefox-Versionen dürften betroffen sein. Das Einschleusen und Ausführen von Code ist durch die Ausnutzung dieser Lücke wahrscheinlich nicht möglich. Der Exploit-Code ist von italienischen Mitgliedern der BackTrack-Gruppe entwickelt und veröffentlicht worden. Sie arbeiten an der Linux-Distribution BackTrack-Linux mit, einer Live-CD zur Analyse der Sicherheit von Rechnern und Netzwerken.
