VulDB: Mozilla Firefox bis 1.5 JavaScript Garbage Collection Variablen erweiterte Rechte
Allgemein
scipID: 2022
Betroffen: Mozilla Firefox bis 1.5
Veröffentlicht: 02.02.2006 (Igor Bukanov)
Risiko: 
kritisch
Beschreibung
Das Mozilla-Projekt versucht einen open-source Webbrowser zur Verfügung zu stellen. Der Mozilla Webbrowser erlangte seit der Veröffentlichung der ersten offiziellen Versionen immer mehr Akzeptanz. Gleich mehrere Schwachstellen wurden zeitgleich in den Versionen bis 1.5 bekannt. Eine davon betrifft JavaScript. Dort kann ein Angreifer mit der Hilfe einer eigenen Funktion und eines Garbage Collectors Zugriffe auf andere Variablen umsetzen. Dies kann zu erweiterten Rechten führen. Genaue technische Details oder ein Exploit sind nicht bekannt. Das Problem wurde im jüngsten Release 1.5.0.1 von Mozilla Firefox behoben.
Die Gegner von open-source Projekten werden es gerne sehen, dass auch ein populäres Browser-Projekt aus diesem Bereich die eine oder andere wirklich unschöne Schwachstelle aufweist. In der Tat muss man es den Entwicklern anlasten, beim Design wenigstens in diesem Belang die Sicherheit aus den Augen verloren zu haben. Mit der Zunahme der Popularität von Mozilla werden auch diese Schwachstellen bedeutender; vor allem für Anbieter von Dialer sowie Skript-Kiddies.
Exploiting
Klasse: Designfehler
Lokal: Ja
Remote: Ja
Exploit: –
Milw0rm: –
Nessus: 22586 (Name: [DSA1044] DSA-1044-1 mozilla-firefox
ATK: –
Gegenmassnahmen
Status: Es ist eine aktualisierte Software-Version verfügbar.
Bestätigung: http://www.mozilla.org/security/announce/mfsa2006-03.html
Massnahme: Ein Upgrade auf die aktuellste Software-Version durchführen.
Link: http://www.mozilla.com/firefox/
Snort: –
Pattern: –
Quellen
Advisory: http://www.mozilla.org/security/announce/mfsa2006-01.html
CVE: CVE-2005-4134
OSVDB: 21533
Securityfocus: 16476
Secunia: 21622
X-Force: –
Securitytracker: 1015328
VUPEN: ADV-2006-3391
Securiteam: –
Tecchannel: –
Heise: –
smSS: –
Buchtipp: Marc Ruef, Marko Rogge, Uwe Velten und Wolfram Gieseke (2002), Hacking Intern – Angriffe, Strategien, Abwehr, Data Becker, ISBN 381582284X (amazon.de)
