Mozilla stopft kritisches Leck im Firefox

Mit einer vorgezogenen Aktualisierung des quelloffenen Browsers behebt Mozilla eine Schwachstelle, über die ein Angreifer beliebigen Code auf einem System ausführen kann.

Zunächst hatte Mozilla empfohlen, auf den Release Candidate von Firefox 3.6.2 zu aktualisieren. Ein Update für das Leck war für den 30. März geplant. Das Leck wurde vor etwa vier Wochen entdeckt.

Laut Mozilla besteht der vom russischen Sicherheitsforscher Evgeny Legerov gemeldete Fehler nur in Firefox 3.6. Der E-Mail-Client Thunderbird und die Browser-Suite Seamonkey seien nicht betroffen, da sie auf einer älteren Version der Firefox-Browser-Engine basierten.

Jetzt hat das Team das Update auf Firefox 3.6.2 vorgezogen. Es behebt einen Fehler, bei dem über manipulierte Schriftarten im Web Open Font Format (WOFF) Angreifer den Browser zum abstürzen bringen und dann über einen Bufferoverflow beliebigen Schadcode auf dem angegriffenen System ausführen können.

Laut eines Advisory liegt der Fehler im Decoder für das WOFF. Bei der Dekomprimierung von Schriftarten kann es zu einem Speicherüberlauf kommen, der zu einem Absturz des Browsers führt und ihn angreifbar macht. Betroffen ist ausschließlich der Firefox 3.6, da der Support für das WOFF-Format erst mit dieser Version eingeführt wurde.

Nutzer von Firefox 3.6 sollten den Patch so schnell wie möglich über die Funktion “Nach Updates suchen” im Hilfe-Menü einspielen, rät Mozilla.