Mozilla bestätigt Firefox-Schwachstelle
Am 18.02 hatte Secunia die Schwachstelle im Advisory SA38608 beschrieben. Einzige Quelle für die Schwachstelle war Evgeny Legerov. Auf meine Nachfrage hatte Secunia bestätigt, dass sie selbst keine Tests durchgeführt hätten, die Quelle aber bisher verlässlich gewesen sei. Daniel Veditz von Mozilla schrieb noch am 27.02.: “Definitiv noch keine Angriffe beobachtet, also können Sie mit Firefox vertrauensvoll weiter surfen.”* Zwischenzeitlich tauchte an einigen Stellen der Begriff Hoax auf. Am 18.03. dann bestätigte Mozilla die Schwachstelle:
“Mozilla wurde durch Evgeny Legerov kontaktiert, dem Security Researcher, der das Bug aus dem Secunia Advisory entdeckt hat. Er hat uns mit genügend Details versorgt, um das Problem zu analysieren und zu reproduzieren. Die Schwachstelle wurde als kritisch bewertet und kann durch einen Angreifer zur Remote Code Execution ausgenutzt werden.”*
Secunia hat nun reagiert und den Zweiflern in seinem Corporate-Blog geantwortet:
“Einige Leute waren sehr eifrig darin, zu behaupten, dass es sich bei der Schwachstelle um eine Fake handelte. In unserem Forum genauso wie im Mozilla-Forum – Mozilla hat jetzt allerdings die Schwachstelle in einer Beta-Version gefixt. Das Fix wird auch in der kommenden Version 3.6.2 enthalten sein.”*
Chief Security Specialist, Carsten Eiram, berichtet in dem Beitrag, warum von Anfang an klar war, das alles klar war. Das Bild wäre runder, wenn man ebenso selbstsicher aufgetreten wäre, als Mozilla die Schwachstelle noch nicht bestätigt hatte.
* Keine offiziellen Übersetzungen aus dem Englischen. Die Original-Zitate finden Sie über die angegebenen Links oder in der englischen Version.
