Firefox und Thunderbird absturzgefährdet

Der Webbrowser Firefox und der Mail-Client Thunderbird verschlucken sich bei der Verarbeitung von HTML-Seiten beziehungsweise HTML-Mails an einer kurzen Zeile HTML-Code. Betroffen sind laut einer Meldung von Whitedust-Security[1] alle Versionen einschließlich des aktuellen Firefox 1.0.7, sowie Thunderbird bis Version 1.0.6. Wie Tests von heise Security ergaben, sind jedoch auch Mozilla 1.7.12, sowie Thunderbird 1.0.7 betroffen.

Die weite Verbreitung des Problems in der Mozilla-Familie lässt vermuten, dass der Fehler in der Gecko-Engine liegt, die für die grafische Umsetzung der reinen HTML-Daten (Rendering) verantwortlich ist. Er lässt sich durch manipulierte Web-Seiten oder E-Mails für Denial-of-Service-Angriffe ausnutzen. Auslöser ist das <sourcetext>-Tag, sobald dieses mit bestimmten anderen Tags, beispielsweise <strong>, verschachtelt wird. Dabei steigt die CPU-Last auf 100 Prozent und das Programm reagiert nicht mehr. Bisher sind uns weder ein Patch noch ein Workaround bekannt.

Siehe dazu auch:

* Mozilla Firefox 1.0.7 DoS Exploit[2], Meldung auf Whitedust-Security

(cr[3]/c't) (cr/c't)

URL dieses Artikels:


Links in diesem Artikel:
[1] http://www.whitedust.net/speaks/1432/
[2] http://www.whitedust.net/speaks/1432/
[3] mailto:cr@ct.heise.de

Copyright © 2005 Heise Zeitschriften Verlag