Die Warnung vor einer im Security-Jargon als hochkritisch eingestuften Sicherheitslücke in Firefox 3.6 ist schon einige Wochen alt. Nun hat Mozilla das Problem bestätigt und einen Patch mit der Version 3.6.2 für 30. März angekündigt.
Wem die Frist bis Monatsende zu lang erscheint, der kann sich mit der Installation einer Beta-Version von 3.6.2 behelfen. Das Bürger-Cert, das vom Bundesamt für Sicherheit in der Informationstechnik (BSI) betrieben wird, warnt wegen des Problems unterdessen vor dem Einsatz von Firefox.
Sicherheitsexperte Secunia hatte schon Mitte Februar vor einem gravierenden Sicherheitsproblem in Firefox gewarnt, die sich zum Abschuss des Browsers und zum Einschleusen von Code eigne. Da die Zusammenarbeit mit dem Entdecker der Lücke, Evgeny Legerov, sich schwierig gestaltet haben soll, war von Mozilla selbst anfangs wenig zu hören.
Jetzt, so ist im Security-Blog zu lesen, habe der Informationsaustausch mit Legerov stattgefunden und die Lücke sei reproduzierbar. Betroffen ist ausschließlich Firefox 3.6. Vorherige Versionen des Zweigs 3.5.x und früher sowie die Testversionen von Firefox 3.7 seien nicht tangiert. Der auf älteren Firefox-Versionen aufbauende Seamonkey und auch die Engine von Thunderbird befänden sich ebenfalls auf der sicheren Seite. Ob der Bug etwas mit dem unterliegenden Betriebssystem zu tun hat, ist nicht bekannt.
