Die Mozilla Foundation vergibt regelmäßig Prämien an Sicherheitsspezialisten für den Erhalt von Informationen über kritische Lücken in seinem Web-Browser Firefox. Diesmal hat jedoch ein 12-Jähriger für das Finden einer Sicherheitslücke eine Prämie von 3000 US-Dollar erhalten.
Der US-Amerikaner Alexander Miller hatte einen kritischen Fehler in einer JavaScript-Funktion entdeckt und gemeldet. Ausgerechnet eine der am häufigsten benutzten JavaScript-Funktion document.write reagierte in seinen Tests auf sehr lange Zeichenketten mit einem Buffer Overflow, der sich vermutlich zum Einschleusen und Starten von Code ausnutzen lässt. Die Entwickler haben den Fehler neben anderen in den Firefox-Versionen 3.6.11 und 3.5.14 sowie Thunderbird 3.1.5 und 3.0.9 behoben – Alex Miller ist in den Credits als "Security Researcher" aufgeführt.
In US-Medien gab der 12-Jährige an, durch die Erhöhung der Prämie von 500 auf 3000 US-Dollar angespornt worden zu sein. Der Aufwand für die Suche nach einem preiswürdigen Fehler habe ihn jeweils 90 Minuten an 10 Tagen gekostet. Zuvor habe er bereits eine andere Lücke entdeckt und an die Mozilla Foundation gemeldet; sie erfüllte jedoch nicht die Anforderungen. (dab)
Quelle: Heise.de