scip AG

• Firma
• News
• Dienstleistungen
• Publikationen

VulDB: Mozilla Firefox bis 1.5.0.2 JavaScript focus() Denial of Service

Allgemein

scipID: 2187
Betroffen: Mozilla Firefox bis 1.5.0.2
Veröffentlicht: 25.04.2006 (splices und spiffomatic64, Securident Technologies)
Risiko: kritisch

Beschreibung

Das Mozilla-Projekt versucht einen open-source Webbrowser zur Verfügung zu stellen. Der Mozilla Webbrowser erlangte seit der Veröffentlichung der ersten offiziellen Versionen immer mehr Akzeptanz. splices, spiffomatic64 und Securident Technologies sind an der Veröffentlichung einer Schwachstelle in Firefox bis 1.5.0.2 beteiligt. Und zwar kann unter gewissen Umständen die JavaScript-Funktion focus() zu einem Speicherproblem führen, was sich für eine Denial of Service-Attacke nutzen lässt. Genaue technische Details oder ein Exploit sind nicht bekannt. Als Workaround wird empfohlen, entweder auf JavaScript oder das Aufsuchen von Webseiten zwielichtiger Herkunft zu verzichten

Mozilla Firefox gilt als ernstzunehmende und sichere Alternative zum Branchenriesen Microsoft Internet Explorer. In vielen der letzten Meldungen zu Schwachstellen im Internet Explorer wird darauf verwiesen, endlich auf eine Lösung wie Firefox umzusteigen. Dieses Mehr an Popularität hat aber kurzfristig auch dem Firefox-Projekt zusätzliche Angriffsfläche beschert. Noch nie wurden innerhalb so kurzer Zeit so viele ernstzunehmende Sicherheitslücken in Mozilla Firefox bekannt. Die alte Fausregel, dass zusätzliche Popularität eines Produkts die meisten Sicherheitslücken in diesem zu Tage fördern wird, hat sich also einmal mehr bewahrheitet.

Exploiting

Klasse: Denial of Service
Lokal: Ja
Remote: Ja

Exploit: –
Milw0rm: –
Nessus: 22597 (Name: [DSA1055] DSA-1055-1 mozilla-firefox
ATK: –

Gegenmassnahmen

Status: Es ist eine aktualisierte Software-Version verfügbar.
Bestätigung: http://www.mozilla.org/security/announce/2006/mfsa2006-30.html

Massnahme: Ein Upgrade auf die aktuellste Software-Version durchführen.
Link: http://www.getfirefox.com

Snort: –
Pattern: –

Quellen

Advisory: http://www.securident.com/vuln/ff.txt

CVE: CVE-2006-1993
OSVDB: –
Securityfocus: 17671
Secunia: 20214
X-Force: 25994
Securitytracker: 1015981
VUPEN: ADV-2006-1922
Securiteam: –

Tecchannel: –
Heise: –
smSS: smSS 19. Mai 2006
Buchtipp: Marc Ruef, Marko Rogge, Uwe Velten und Wolfram Gieseke (2002), Hacking Intern – Angriffe, Strategien, Abwehr, Data Becker, ISBN 381582284X (amazon.de)

Übersicht Schwachstellen

• Letzte Einträge
  • Cisco IOS TCP Connection Handling Denial of Service
  • Adobe ColdFusion Directory Traversal Schwachstelle
  • Microsoft Windows Tracing Feature for Services Privilege Escalation
  • Microsoft Windows MPEG Layer-3 Audio Decoder Pufferüberlauf
  • Microsoft Windows SMB Server verschiedene Schwachstellen
• Statistiken
  • Übersicht
  • Produkte
  • Reference Maps
• Archiv
  • 2010
  • 2009
  • 2008
  • 2007
  • 2006
  • 2005
  • 2004
  • 2003
• Syndication
  • Alert System
  • RSS
  • Twitter