Sicherheitslücke Firefox 3.5

https://www.camp-firefox.de/forum/viewtopi…=574898#p574898
Hier ist ein Statement von Mozilla verlinkt, das auch einen Workaround bis zum Patch enthält.

Ich bin ja absoluter Laie auf dem Gebiet, daher meine vllt. dämliche Frage: Ich habe das Add-On "NoScript" installiert. Reicht das zur Sicherheit aus? :-???
Danke im Voraus.
Grüße

Das würde das Heap-Spraying nur auf Seiten unterbinden, für die JavaScript gesperrt ist. Für Seiten auf deiner (auch temporären) Whitelist gilt das nicht. Da es einen einfachen Workaround gibt (siehe oben) ist dieser in dem Fall vorzuziehen.

Als Beispiel:
http://weblogs.mozillazine.org/roadmap/archiv…pt_lightsp.html
Tracemonkey beschleunigt nur bestimmte JavaScript-Anwendungen deutlich.

Kaum ist mit dem 3.5.1 eine Sicherheitslücke geschlossen, tut sich schon eine neue auf.

Zitat

Erst gestern ist durch Veröffentlichung eines weiteren Demo-Exploits eine neue Sicherheitslücke in Firefox 3.5 bekannt geworden, die von den gleichen Forschern aufgedeckt wurde. Wie Symantecs Sicherheitsportal SecurityFocus berichtet, ist Firefox anfällig für einen Speicherüberlauf, der durch eine sehr lange Unicode-Zeichenkette ausgelöst werden kann und einen Absturz verursacht. Diese Schwachstelle könnte das Einschleusen und Ausführen beliebigen Codes erlauben. Auch Firefox 3.5.1 und 3.0.11 sind davon betroffen.

Na da steht der 3.5.2 doch bestimmt schon vor der Tür. :-??

Gruß Kurt

Releases

http://blog.mozilla.com/security/2009/…-cve-2009-2479/

Zitat

As a result of our analysis, we do not believe that this represents an exploitable vulnerability in Firefox. Further, we believe that the IBM report is in error, and that the severity rating in the National Vulnerability Database report is incorrect.