Firefox und Thunderbird absturzgefährdet

Hallo,

Mozilla Firefox macht wieder Schlagzeilen. Der Webbrowser Firefox und der Mail-Client Thunderbird stürzen bei der Verarbeitung von HTML-Seiten beziehungsweise HTML-Mails ab (100 % CPU Last). Es reicht eine kurze Zeile HTML-Code. Betroffen sind laut einer Meldung von Whitedust-Security alle Versionen einschließlich des aktuellen Firefox 1.0.7, sowie Thunderbird bis Version 1.0.6.
http://www.heise.de/newsticker/meldung/65012

Mozilla Firefox 1.0.7 DoS Exploit, Meldung auf Whitedust-Security
http://www.whitedust.net/speaks/1432/

Hier mit dem Link könnt ihr direkt den Browser testen... mein FF 1.07 stürzt sofort ab:

http://www.milw0rm.com/exploit.php?id=1253

Wolfgang77

 

..........

 

du bist eben zu langsam, Wolfgang.

 

Das stimmt... zu alt da kann ich nicht mehr mithalten..
Zudem habe ich übersehen dass es ein extra Forum gibt für den "PCWelt-Firefox", ist ja auch leicht übertrieben.. wer hat das eingerichtet ..

 

Mein FF 1.07 hängt sich beim Klick auf den "Testlink" lediglich auf, stürzt jedoch nicht ab.

 

Dito, im Taskmanager erscheint "Keine Rückmeldung", der FX wird aber weiter angezeigt. Wie peinlich für Mozilla...

 

Habe grade mit meinen installierten Browsern (SeaMonkey-Suite 1.1alpha, Firefox 1.5beta2 und IE 6 mit allen Patches) den Link von Wolfgang77 getestet, bei oben genannten Browsern passierte nichts - weißes Fenster und oben links steht Mozilla, ich konnte mit allen drei Browsern weitersurfen.

 

Wieso sollte eine Sicherheitslücke von Mozilla auch beim IE zutreffen bzw. ausnutzbar sein?!

 

Bisher wird ja "nur vermutet", dass der Fehler in der Gecko Engine liegt.

 

Hallo,
in einem Kommentar im whitedust Link wird gesagt das dies auch den IE beträfe, also ist es zumindest in der Diskussion. Auch wenn es mit der voll gepatchten IE-Version wohl nicht der Fall ist.


Grüße Jasager

 

Auf Heise gibt es eine Update-Meldung:

Update:
Der Fehler ist offenbar seit Juni 2003 in der Fehlerdatenbank von Mozilla registriert, seit September 2004 gibt es einen Patch, der die Mozilla-spezifischen Tags <sourcetext> und <parsererror> aus dem HTML-Parser entfernt. Dies wurde offenbar in den Vorabversionen von Firefox 1.5 und Mozilla 1.8 bereits umgesetzt, sodass diese nicht mehr anfällig sind.

Nun jetzt haben wir Oktober 2005 und man darf sich doch wundern dass der Fehler noch in der Firefox Final 1.07 vorhanden ist.

Wolfgang77

 

Weil einige Lücken, die beim IE bekannt sind, auch in Mozilla/FF auftreten? Einfache Logik. Wenn es sorum funktioniert, warum nicht auch andersrum.

Nur liegt doch angeblich von der Frickelfront der Quellcode für Jedermann verfügbar vor. Da das ja so einfach ist, könnte man doch Fehler ganz schnell finden.

 

Theoretisch Ja, wenn sich kompetente User finden würden.

 

Praktisch aber nicht, weil da zuviel Leute dran rumfrickeln. Genau da liegt imo das Problem.