Hacker: Mozilla nimmt Firefox-Sicherheitsprobleme nicht ernst genug

Ein Hacker wirft Mozilla vor, Sicherheitsprobleme teilweise nicht ernst zu nehmen. Am Wochenende veröffentlichte Raff einen Code, der demonstrieren sollte, wie schlimm eine Sicherheitslücke in Firefox seinerzeit wirklich war.

Ein Hacker hat einen Code veröffentlicht, der beweisen soll, dass ein Angreifer über Firefox die Kontrolle über den PC eines Anwenders übernehmen könnte. Kein Grund zur Panik: Die dabei ausgenutzte Lücke existierte seinerzeit in Firefox 1.0.4 und wurde schon vor Monaten mit Firefox 1.0.5 geschlossen.

Dem Hacker, der sich "Aviv Raff" nennt, ging es bei der Veröffentlichung des Codes nicht darum, auf die Sicherheitslücke aufmerksam zu machen. Er wollte zeigen, wie gefährlich die Lücke seinerzeit wirklich war und beweisen, dass Mozilla sie nicht richtig eingestuft hatte.

Die Veröffentlichung des Codes durch Raff zeigte auch bei Mozilla Wirkung. Am Mittwoch ging nun eine überarbeitete Version des Advisory online, in der die Risikoeinschätzung der damals publik gemachten Anfälligkeit von "moderat" auf "kritisch" angehoben wurde.

"Viele Male gab es Sicherheitsexperten, die auf Microsoft einschlugen, weil Sicherheitsanfälligkeiten heruntergespielt wurden. Aber wenn es um Mozilla-Produkte geht, schweigt die Community", so Raff in seinem Blog. Er hofft, dass seine Aktion ein Zeichen gesetzt hat und Mozilla anders handelt.

Raff ist auch der Ansicht, dass die kürzlich bekannt gewordene Schwäche im Firefox 1.5 von Mozilla falsch bewertet worden ist. Ein Hacker hatte auf eine neue Art der DoS-Attacke mit Firefox 1.5 hingewiesen, bei der eine speziell präparierte Website dafür sorgt, dass sich die Datei history.dat mit viel Inhalt füllt und damit den Start des Browsers verzögert. Mozilla hat mit einem Advisory reagiert, in dem es hieß, dass das Ganze nicht so schlimm sei und es nur dazu führe, dass Firefox für kurze Zeit nicht reagiere. Den Anwendern wird in dem Advisory empfohlen, einfach den Verlauf zu leeren, sobald Firefox mal länger zum Starten braucht.

Dass das so harmlos sein soll, will Raff nicht einsehen. "Das trifft bei dem Proof-of-Concept-Exploit zu und für Leute mit einem schnellen Computer", so Raff. Seiner Meinung nach könnten Angreifer den Code so umändern, dass die Datei history.dat mit enorm vielen Daten gefüllt wird und Firefox extrem lang mit einem Start beschäftigt ist und dabei auch noch alle Ressourcen des Systems in Beschlag nimmt. "Mozilla sollte dieses Problem ernster nehmen und sich ihm so schnell wie möglich annehmen", fordert Raff. (PC-Welt/mec)