scip AG

• Firma
• News
• Dienstleistungen
• Publikationen

VulDB: Mozilla Firefox bis 1.5.0.4 JavaScript Sandbox valueOf() erweiterte Rechte

Allgemein

scipID: 2277
Betroffen: Mozilla Firefox bis 1.5.0.4
Veröffentlicht: 02.06.2006 (moz_bug_r_a4)
Risiko: kritisch

Beschreibung

Das Mozilla-Projekt versucht einen open-source Webbrowser zur Verfügung zu stellen. Der Mozilla Webbrowser erlangte seit der Veröffentlichung der ersten offiziellen Versionen immer mehr Akzeptanz. Einmal mehr wurden mehrere Schwachstellen zeitgleich publiziert. Diese betreffen den Mozilla Firefox bis 1.5.0.4. Einer der Fehler betrifft die JavaScript-Sandbox. In dieser kann mit der Funktion valueOf() erweiterte Rechte bei der Ausführung von JavaScript-Code erlangt werden. Genaue technische Details oder ein Exploit sind nicht bekannt. Als Workaround wird empfohlen, entweder auf JavaScript oder das Aufsuchen von Webseiten zwielichtiger Herkunft zu verzichten. Der Fehler wurde in der jüngsten Firefox-Version behoben.

Mozilla Firefox gilt als ernstzunehmende und sichere Alternative zum Branchenriesen Microsoft Internet Explorer. In vielen der letzten Meldungen zu Schwachstellen im Internet Explorer wird darauf verwiesen, endlich auf eine Lösung wie Firefox umzusteigen. Dieses Mehr an Popularität hat aber kurzfristig auch dem Firefox-Projekt zusätzliche Angriffsfläche beschert. Noch nie wurden innerhalb so kurzer Zeit so viele ernstzunehmende Sicherheitslücken in Mozilla Firefox bekannt. Statistisch ist das freie Produkt drauf und dran den alteingesessenen Browser in punkto Fehler zu überholen. Die alte Fausregel, dass zusätzliche Popularität eines Produkts die meisten Sicherheitslücken in diesem zu Tage fördern wird, hat sich also einmal mehr bewahrheitet.

Exploiting

Klasse: Designfehler
Lokal: Ja
Remote: Ja

Exploit: –
Milw0rm: –
Nessus: –
ATK: –

Gegenmassnahmen

Status: Es ist eine aktualisierte Software-Version verfügbar.
Bestätigung: –

Massnahme: Ein Upgrade auf die aktuellste Software-Version durchführen.
Link: http://www.getfirefox.com

Snort: –
Pattern: –

Quellen

Advisory: http://www.mozilla.org/security/announce/2006/mfsa2006-31.html

CVE: CVE-2006-1942
OSVDB: –
Securityfocus: –
Secunia: 20376
X-Force: –
Securitytracker: –
VUPEN: –
Securiteam: –

Tecchannel: –
Heise: –
smSS: smSS 19. Juni 2006
Buchtipp: George Kurtz, Stuart McClure und Joel Scambray (2002), Das Anti-Hacker-Buch, mitp, ISBN 3826608453 (amazon.de)

Übersicht Schwachstellen

• Letzte Einträge
  • Cisco IOS TCP Connection Handling Denial of Service
  • Adobe ColdFusion Directory Traversal Schwachstelle
  • Microsoft Windows Tracing Feature for Services Privilege Escalation
  • Microsoft Windows MPEG Layer-3 Audio Decoder Pufferüberlauf
  • Microsoft Windows SMB Server verschiedene Schwachstellen
• Statistiken
  • Übersicht
  • Produkte
  • Reference Maps
• Archiv
  • 2010
  • 2009
  • 2008
  • 2007
  • 2006
  • 2005
  • 2004
  • 2003
• Syndication
  • Alert System
  • RSS
  • Twitter