Logo von Open Source

Suche
Daniel Bachfeld 469

Mehrere kritische Lücken in Firefox und Thunderbird beseitigt

Die Mozilla Foundation hat neue Versionen ihres Browsers und ihres Mail-Clients für Windows, Linux und Mac OS X veröffentlicht, in der mehrere kritische Sicherheitslücken beseitigt sind. Ein Angreifer konnte darüber die Kontrolle über den Rechner übernehmen. Dazu genügt bereits der Besuch einer manipulierten Webseite oder das Öffnen einer bösartigen Mail. Die Aktualisierungen werden bereits über das automatische Update verteilt.

Anzeige

In Firefox 2.0.0.1 sind insgesamt acht Lücken geschlossen, fünf davon stufen die Entwickler als kritisch ein. Dazu gehören unter anderem ein Speicherzugriffsfehler beim Verarbeiten von SVG-Comment-Objects (Scalable Vector Graphics), über den sich Code einschleusen und ausführen lassen soll. Nicht ganz so einfach soll sich nach Einschätzung des Fehlerberichts der Mozilla-Foundation ein Fehler im LiveConnect-Code ausnutzen lassen, der die Kommunikation zwischen JavaScript und Java Applets ermöglicht. In der Regel stürze der Browser bei einem Angriff nur ab, man schließe aber nicht aus, dass mit einiger Anstrengung auch Codeausführung möglich ist. Da Thunderbird standardmäßig keine Applets lädt, kann das Problem dort eigentlich nicht auftreten – dennoch ist der fehlerhafte Code auch dort enthalten.

Zudem können Angreifer über die JavaScript-Methode watch() zum Beobachten von Werten in Skripten einen Rechner mit Schadcode infizieren. Genauere Angaben macht die Mozilla Foundation nicht, auf allen Bugzilla-Einträgen zu den Fehlern liegt während der "aktiven Update-Periode" noch ein Embargo. Teilweise veröffentlichen aber die Entdecker der Lücken bereits ihre eigenen Fehlerberichte.

Ein Heap Overflow tritt zudem bei der Umwandlung von präparierten Bildern in Windows-Bitmaps auf. Dazu müssen aber laut Bericht zusätzlich die Eigenschaften des CSS-Cursors in einer Seite manipuliert werden. Von dem Fehler ist nur die Windows-Version von Firefox betroffen.

Darüber hinus wurde die Stabilität der Browser verbessert, sodass weniger Abstürze auftreten sollen. Da einige dieser Abstürze Hinweise auf Speicherlecks lieferten, über die Angreifer eventuell Code in den Speicher schreiben und anspringen können, hat man dieses Problem ebenfalls als kritisch eingestuft.

Schlußendlich wurden noch zwei Cross-Site-Scripting-Schwachstellen (XSS) beseitigt und ein Problem mit RSS-Feeds behoben. Eine der XSS-Lücken findet sich nur in Firefox 2.0, die anderen Lücken wurden auch in Firefox 1.5.0.9 und Thunderbird 1.5.0.9 korrigiert. In SeaMonkey 1.0.7 sind die Fehler ebenfalls ausgemerzt. Für Firefox 2.0.0.1 erwähnen die Entwickler explizit, dass nun auch Windows Vista unterstützt wird – allerdings noch mit einigen Problemen; so sind etwa einige Maßnahmen zu beachten für das automatische Update, auch kann Firefox noch nicht zum Default-Webbrowser unter Vista gemacht werden. Die Entwickler erwähnen zudem zwar in den Release-Notes für Thunderbird 1.5.0.9 den Fehler mit teilweise unaufgefordert gelöschten Mails nicht, laut dem Eintrag in Bugzilla wurde der Fehler aber mit der Version 1.5.0.9 korrigiert.

Firefox 2.0.0.1 und 1.5.0.9 sowie Thunderbird 1.5.0.9 stehen in diversen Landessprachen, darunter Deutsch, über die Downloadseiten von Mozilla bereit, werden aber auch über das Software-Update der Anwendungen verteilt. Firefox 1.0.x und Thunderbird 1.0.x werden nicht mehr unterstützt, sodass die Fehler dort nicht mehr behoben werden. Anwender sollten auf die aktuellen Releases wechseln.

Siehe dazu auch:

(dab)

469 Kommentare

Themen:

Anzeige
  1. Webbrowser Firefox 45: Ohne Tab-Gruppen, mit verbesserter Tab-Synchronisation

    Mozilla Firefox

    Firefox 45 kommt ohne Tab-Gruppen und mit verbesserter Tab-Synchronisation. Der Videochat Hello erhielt ein neues Konzept und dient nun dem gemeinsamen Surfen und unterstützt die "Entscheidungsfindung in Echtzeit".

  2. Firefox 41 mit Textchat

    Firefox-Logo

    Die neue Firefox-Version bringt nur wenige Neuerungen, darunter allerdings eine spezielle Anpassung für den Werbeblocker Adblock Plus.

  3. Mozilla möchte Mail-Client Thunderbird loswerden

    Mozilla Thunderbird

    Mozilla-Chefin Mitchell Baker plädiert für eine Trennung von Thunderbird und Firefox. Die beiden Projekte würden sich gegenseitig in ihrer Entwicklung behindern. Eine endgültige Entscheidung über die Loslösung ist aber noch nicht gefallen.

  4. pEp: Erste Anwendungen von "Pretty Easy Privacy" für Windows und Android

    Verschlüsselung, Messenger, Smartphone

    Mit p=p für Outlook und p=p für Androids K9-Mailer startet das p=p-Projekt sein Angebot an Verschlüsselungslösungen. Ziel ist es, irgendwann alle digitale Kommunikation abzusichern - und das mit einer einfachen, anwenderfreundlichen Lösung.

  1. Was Fedora 23 Neues bringt

    Fedora-Desktop

    Fedora will das BIOS-Update erleichtern und macht Fortschritte beim Umstieg auf Wayland. Neu ist auch eine Cinnamon-Distribution und Unterstützung für OpenGL 4.1.

  2. Die Neuerungen von Linux 4.8

    Kernel-Log-Logo

    Das Anfang Oktober erwartete Linux 4.8 bringt zahlreiche neue und überarbeitete Treiber, durch die der Kernel fünfhundert weitere Geräte oder Geräteklassen unterstützt. Ferner gab es allerlei Verbesserungen, die das Ausnutzen von Sicherheitslücken erschweren.

  3. Dies und das – Neues aus dem Handymarkt

    Diese Woche gab es keine gravierenden Neuankündigungen. Langweilig ist es in der Industrie trotzdem nicht – hier eine Liste der interessantesten Ereignisse.

  1. Manipulationen bei Lkw-Fahrtenschreibern immer ausgeklügelter

    Manipulationen bei Lkw-Fahrtenschreibern immer ausgeklügelter

    Lastwagenfahrer müssen regelmäßige Pausen machen, um mehr Sicherheit auf den Straßen zu gewährleisten. Bei Kontrollen fällt aber auf, dass viele Erfassungsgeräte manipuliert sind. Die Logistikbranche gibt sich verwundert.

  2. Für 2015 hat Audi den A1 überarbeitet. Wie gut ist das gelungen?

    Im frisch überarbeiteten Audi A1

    Für 2015 hat Audi sein wichtiges Einsteiger-Modell A1 überarbeitet in der Hoffnung, die Erfolgssträhne zu verlängern. Dabei kommen neue Dreizylinder-Ottomotoren und überarbeitete Selbstzünder ins Programm, aber längst nicht nur. Wie gut die Modellpflege gelungen ist, haben wir ausprobiert

  3. Kalifornien: IMDB soll Altersangaben unterdrücken

    Zeichnung eines Ãœberraschten am Laptop

    Kalifornien schreibt ab sofort vor, dass bestimmte Webseiten Altersangaben auf Antrag unterdrücken müssen, auch wenn die Daten korrekt und öffentlich bekannt sind. Das soll der Altersdiskriminierung in Hollywood entgegen wirken.

  4. Englische Verbraucherorganisation verlangt Schadenersatz für Probleme beim Windows-10-Upgrade

    Englische Verbraucherorganisation verlangt Schadenersatz für Probleme beim Windows-10-Upgrade

    Der englischen Verbraucherorganisation "Which?" liegen über 1000 Beschwerden von Windows-Nutzern vor, bei denen das Upgrade auf Windows 10 Probleme verursachte.

Anzeige