Absturzursache:Neue Schwachstelle in Firefox
Mozilla-basierte Browser weisen einen Schwachpunkt bei der Behandlung internatonaler Domain-Namen auf
Frank Ziemann
Eine Funktion in Mozilla und Firefox, die eigentlich zur Behandlung internationaler Domain-Namen (IDN) gedacht ist, lässt sich dazu missbrauchen den Browser zum Absturz zu bringen. Möglicherweise kann dadurch auch zusätzlicher Code eingeschleust und ausgeführt werden. Diesen Fehler hat Tom Ferris entdeckt, der kürzlich bereits auf eine Sicherheitslücke im Internet Explorer aufmerksam machte.
Betroffen sollen alle Versionen von Mozilla und Firefox sein, einschließlich der kürzlich freigegebenen Beta 1 von Firefox 1.5 ("Deer Park"), auch unter Linux. Das Problem ist laut Ferris ein Fehler in der Behandlungsroutine für internationale Domain-Namen, die also etwa deutsche Umlaute enthalten, zum Beispiel "müller.de".
Nach Angaben von Tom Ferris vergisst Mozilla in speziellen Fällen solche Zeichen mitzuzählen und reserviert daher einen zu kleinen Puffer. Kopiert der Browser dann die URL in den zu kleinen Puffer, kann es zum Überlauf kommen und der Browser stürzt ab.
Die Mozilla-Entwickler haben im Security-Center eine Sicherheitsempfehlung veröffentlicht, in der zur Vermeidung des Problems die Deaktivierung der IDN-Unterstützung empfohlen wird. Zu diesem Zweck haben sie auch ein Add-on bereit gestellt, das diese Deaktivierung ausführt. Die Deaktivierung der IDN-Unterstützung ist als vorübergehende Maßnahme anzusehen, bis eine bessere Lösung gefunden ist.