Soeben ist Firefox 3.5.15 und 3.6.12 erschienen. In dieser Version wird eine am 25.10. bekannt gewordene Sicherheitslücke geschlossen.
Über die Lücke konnte über eine modifizierte Webseite Code in ein System eingeschleust und ausgeführt werden. Wie an vielen Stellen berichtet wurde, wird die Lücke schon aktiv ausgenutzt. So wurde zum Beispiel über die Friedensnobelpreis-Seite eine Backdoor Software installiert, die es einem Angreifer ermöglicht verschiedenste Kommandos auf dem betroffenen Computer auszuführen.
Der Angriff richtete sich in erster Linie gegen Windows XP Systeme. Es wird vermutet, dass Windows Vista und Windows 7 Systeme auf Grund ihres besseren Sicherheitskonzeptes weniger betroffen sind.
Links
- trendmicro.com: "Firefox Zero-Day Found in Compromised Nobel Peace Prize Website" (englisch)
- symantec.com: "Limited Firefox Zero-Day Attack in the Wild" (englisch)
- mozilla.com: "Critical vulnerability in Firefox 3.5 and Firefox 3.6" (englisch)
- golem.de: "Offene Sicherheitslücke wird aktiv ausgenutzt" (deutsch)