Hoch kritische Lücke in Firefox, Mozilla und Netscape

Der Sicherheitsexperte Tom Ferris hat die Lücke in den Mozilla-basierten Browsern entdeckt und veröffentlicht (tecCHANNEL Security Report). Die Lücke tritt auf, sobald längere Domain-Namen in einer URL Gedankenstriche enthalten. Das Problem liegt darin, dass die Funktion nsStandardURL::BuildNormalizedSpec den Aufruf NormalizeIDN als wahr zurückgibt, gleichzeitig aber encHost als leeren String setzt.

Die Browser hängen dann eine 0 an approxLen und übergeben den langen String an den Puffer, was einen Buffer Overflow erzeugt. Betroffen sind sämtliche Firefox-Varianten inklusive der Version 1.5 Beta 1, die Netscape-Browser bis Version 8.0.3.3 und die Mozilla-Suite bis 1.7.11.

Die Entwickler der Mozilla-Foundation wurden bereits informiert, haben allerdings noch keinen Patch bereitgestellt. Solange es kein Update gibt, sollten Sie nur vertrauenswürdige Seiten aufrufen. Als Workaround lässt sich die fehlerhafte Funktion manuell deaktivieren: Rufen Sie im Browser die Seite about:config auf, suchen Sie "network.enableIDN" und setzen Sie den Wert auf "false".

Über aktuelle Sicherheitslücken informieren Sie die Security-Reports von tecCHANNEL in Kooperation mit Secunia. Sie können diesen Dienst auch als kostenlosen Newsletter oder als tägliche tecCHANNEL Security Summary abonnieren. Premium-Kunden haben zudem die Möglichkeit, sich bei hoch kritischen Lücken per Security Alert informieren zu lassen.