Gecko hat Probleme mit HTML

Gestern hat Whitedust eine neue Sicherheitslücke in Firefox und Thunderbird entdeckt. Laut Heise ist allerdings auch die Mozilla 1.7.12 betroffen. Durch die Sicherheitslücke kann ein Angreifer mit einer präparierten Web-Seite oder E-Mail eine DoS-Attacke ausführen.

Betroffen sind alle Firefox-Versionen einschließlich 1.0.7 und die Thunderbird-Versionen bis 1.0.6. Nicht betroffen sind die Beta-Versionen des Firefox 1.5. Heise spricht auch von einer Anfälligkeit bei der Version 1.0.7 beim Mail-Clienten Thunderbird.

Die Lücke in der Gecko-Engine beruht auf dem „sourcetext“-Tag. Sowie dieses mit anderen Tags (wie z.B. dem „strong“-Tag) verschachtelt wird. Beim Rendern dieser Befehlsfolge steigt die CPU-Last auf 100 Prozent und das Programm reagiert nicht mehr.

<!--

posidron@tripbit.net

Vulnerable: Mozilla Firefox <= 1.0.7

Mozilla Thunderbird <= 1.0.6

-->

<html><body><strong>Mozilla<sourcetext></body></html>

# milw0rm.com [2005-10-16]

Wer das überprüfen will, kann die bei Whitedust dafür präparierte Webseite, die auf dem obigen Quelltext beruht, ausprobieren. Einen Patch oder Workaround gibt es bisher noch nicht. Zumindest beim Browser kann man sich durch das Nutzen der aktuellen Beta-Version schützen. Vermutlich gilt das auch für die Thunderbird-Beta.