Kritisk feil i Mozilla

Et sikkerhetshull i nettleseren Mozilla gjør det mulig å angripe nettservere og andre applikasjoner gjennom overfylte buffere.

25.08.04 15:47

Det skriver svenske Nätverk og Kommunikation.

Sikkerhetsselskapet Internet Security Systems advarer mot en kritisk feil i Open source-biblioteket Netscape Network Security Services fra Mozilla.

Feilen ligger i hvordan biblioteket håndterer en forespørsel om nye SSLv2-sesjoner. Lengden på mottatt data i et felt i «handshake»-prosessen blir ikke kontrollert, slik at en angriper kan overfylle bufferen. Dermed kan applikasjonen krasje eller fås til å kjøre angriperens egen kode.

Hackerens kode kjøres med samme nivå som nettserveren har, hvilket på de fleste Windows-servere er administrasjonsnivå.

Biblioteket brukes blant annet av Netscape Enterprise Server og Sun Java System Web Server, men også mange andre produkter benytter seg av biblioteket.

Mozilla Foundation har sluppet en patch som retter problemet.

Er open source-programvare sikrere enn Internet Explorer?

Nettavisen ønsker en åpen og levende debatt.

Her kan du enkelt bidra med din mening.