Bei der Verarbeitung von HTML-Seiten beziehungsweise HTML-Mails an einer kurzen Zeile HTML-Code haut es die beiden in die Knie.
Betroffen sind laut einer Medlung von Whitedust-Security alle Versionen einschließlich des aktuellen Firefox 1.0.7, sowie Thunderbird bis Version 1.0.6. Wie Tests von heise Security ergaben, sind jedoch auch Mozilla 1.7.12, sowie Thunderbird 1.0.7 betroffen.
Die fast komplette Verbreitung des Problems innerhalb der Mozilla-Familie lässt den Schluss zu, dass der Fehler in der Gecko-Engine liegt, die für die grafische Umsetzung der reinen HTML-Daten (Rendering) verantwortlich ist.
Er lässt sich durch manipulierte Web-Seiten oder E-Mails für Denial-of-Service-Angriffe ausnutzen. Auslöser ist das <sourcetext>-Tag, sobald dieses mit bestimmten anderen Tags, beispielsweise <strong>, verschachtelt wird. Dabei steigt die CPU-Last auf 100 Prozent und das Programm reagiert logischerweise nicht mehr.
Ein Patch oder ein Workaround gefällig? Alles Fehlanzeige bisher...von wegen, die bei MS sind langsam...
Quelle: http://www.heise.de