Bereits kurz nach der Veröffentlichung der neuen Version 3.0 des freien Browsers Mozilla Firefox ist die erste schwerwiegende Sicherheitslücke in der überarbeiteten Version gefunden worden. Nach Angaben des Sicherheitsdienstleisters Tipping Point wurde die Schwachstelle innerhalb von fünf Stunden nach der Veröffentlichung erstmals gemeldet.
Tipping Point hat nach eigenen Angaben bereits die Entwickler des Browsers über die Problematik informiert. Zuvor wurde die Schwachstelle von den hauseigenen Spezialisten überprüft, so das Unternehmen. Sie war im Rahmen der so genannten Zero Day Initiative gemeldet worden, bei der die Entdecker von Schwachstellen für die exklusive Weitergabe ihrer Erkenntnisse an Tipping Point gut bezahlt werden.
Tipping Point veröffentlichte keine konkreten Angaben zu der Schwachstelle. Im Rahmen der Firmenpolitik lässt man den betroffenen Softwareherstellern Zeit, die Lücke zu schließen, und gibt erst dann ausführliche Informationen dazu an die Öffentlichkeit. Die Schwachstelle besteht nach Angaben des Unternehmens auch bei Firefox 2.0.
Der Sicherheitsdienstleister verriet darüber hinaus nur, dass für eine erfolgreiche Ausnutzung Nutzerinteraktion notwendig ist. Außerdem soll die Lücke einem Angreifer die Möglichkeit bieten, beliebigen Code auf dem System des Opfers auszuführen. Mozilla arbeitet angeblich bereits an der Beseitigung des Problems.
Tipping Point wurde wegen der Zero Day Initiative in der Vergangenheit bereits mehrfach heftig kritisiert. Unter anderem sollen die Entdecker von Schwachstellen wegen des Programms absichtlich verspätet Meldung erstatten, um mehr Geld dafür zu kassieren. Auch Microsoft gehört zu den Kritikern derartiger "Cash-for-Bugs"-Systeme.
Robert Hensing, Sicherheitsspezialist bei Microsoft, kommentierte in seinem Weblog, dass der Entdecker der Lücke das Problem wahrscheinlich schon vor langer Zeit entdeckt habe und dennoch bis zur Veröffentlichung der finalen Ausgabe von Firefox 3.0 wartete, um Geld dafür zu kassieren. Ethisch korrekt wäre es nach Ansicht von Hensing, die Schwachstelle sofort nach ihrer Entdeckung ohne Umwege an die Entwickler zu melden.