Mozilla: bug in nieuwe Firefox is niet exploitable

Zeer kort na het uitkomen van de eerste patch voor Firefox 3.5 is er weer een beveiligingsgat ondekt. De 3.5.1-update is vorige week versneld uitgebracht omdat het daarmee gedichte gat vrij ernstig is. Volgens Firefox-maker Mozilla is het nieuwe gat niet zo serieus, omdat het niet te exploiten is.

Tenminste, dat stelt de open source-stichting, maar daarover is nog discussie. De bug kan de browser hooguit laten crashen, verklaart het Mozilla Security-team. Dit geldt voor versies 3.0.x en 3.5.x, draaiend op Windows en Mac OS X. Het gaat hierbij weliswaar om een buffer overflow, maar volgens de Firefox-ontwikkelaars is het daarbij niet mogelijk om kwaadaardige code uit te voeren. Dat is de meestgebruikte manier om een beveiligingsgat te misbruiken.

'Wel te misbruiken'

Mozilla spreekt ook beveiligingsexperts aan op de eerder afgegeven beoordeling van 'kritiek' of 'zwaar' voor dit nieuwste gat. Het krijgt daarmee een stevige discussie, want volgens sommige experts is het gat wel degelijk te exploiten. IBM's securitytak ISS stelt dat kwaadwillenden via deze bug toegang kunnen krijgen tot de computer waar Firefox op draait.

De Amerikaanse National Vulnerability Database (NVD) heeft een milder oordeel. NVD zegt dat de Firefox-bug aanvallers de mogelijkheid geeft van een denial of service, door de applicatie te laten crashen. De NVD houdt nog wel een slag om de arm met de mededeling dat er nog wel een andere, ongespecificeerde impact kan zijn van dit securitygat.

Exploitcode

Ondertussen is er ook al proof of concept-code gemaakt, waarmee een exploit mogelijk zou zijn. Securitywaarschuwingsdienst SANS Internet Storm Center meldt dit ook. Volgens beveiligingsbedrijf eEye is gebruik van NoScript niet voldoende om misbruik van de bug geheel te voorkomen. Een patch is nog niet beschikbaar, maar Mozilla werkt er wel aan.