Logo von Open Source

Suche
Daniel Bachfeld 469

Mehrere kritische Lücken in Firefox und Thunderbird beseitigt

Die Mozilla Foundation hat neue Versionen ihres Browsers und ihres Mail-Clients für Windows, Linux und Mac OS X veröffentlicht, in der mehrere kritische Sicherheitslücken beseitigt sind. Ein Angreifer konnte darüber die Kontrolle über den Rechner übernehmen. Dazu genügt bereits der Besuch einer manipulierten Webseite oder das Öffnen einer bösartigen Mail. Die Aktualisierungen werden bereits über das automatische Update verteilt.

Anzeige

In Firefox 2.0.0.1 sind insgesamt acht Lücken geschlossen, fünf davon stufen die Entwickler als kritisch ein. Dazu gehören unter anderem ein Speicherzugriffsfehler beim Verarbeiten von SVG-Comment-Objects (Scalable Vector Graphics), über den sich Code einschleusen und ausführen lassen soll. Nicht ganz so einfach soll sich nach Einschätzung des Fehlerberichts der Mozilla-Foundation ein Fehler im LiveConnect-Code ausnutzen lassen, der die Kommunikation zwischen JavaScript und Java Applets ermöglicht. In der Regel stürze der Browser bei einem Angriff nur ab, man schließe aber nicht aus, dass mit einiger Anstrengung auch Codeausführung möglich ist. Da Thunderbird standardmäßig keine Applets lädt, kann das Problem dort eigentlich nicht auftreten – dennoch ist der fehlerhafte Code auch dort enthalten.

Zudem können Angreifer über die JavaScript-Methode watch() zum Beobachten von Werten in Skripten einen Rechner mit Schadcode infizieren. Genauere Angaben macht die Mozilla Foundation nicht, auf allen Bugzilla-Einträgen zu den Fehlern liegt während der "aktiven Update-Periode" noch ein Embargo. Teilweise veröffentlichen aber die Entdecker der Lücken bereits ihre eigenen Fehlerberichte.

Ein Heap Overflow tritt zudem bei der Umwandlung von präparierten Bildern in Windows-Bitmaps auf. Dazu müssen aber laut Bericht zusätzlich die Eigenschaften des CSS-Cursors in einer Seite manipuliert werden. Von dem Fehler ist nur die Windows-Version von Firefox betroffen.

Darüber hinus wurde die Stabilität der Browser verbessert, sodass weniger Abstürze auftreten sollen. Da einige dieser Abstürze Hinweise auf Speicherlecks lieferten, über die Angreifer eventuell Code in den Speicher schreiben und anspringen können, hat man dieses Problem ebenfalls als kritisch eingestuft.

Schlußendlich wurden noch zwei Cross-Site-Scripting-Schwachstellen (XSS) beseitigt und ein Problem mit RSS-Feeds behoben. Eine der XSS-Lücken findet sich nur in Firefox 2.0, die anderen Lücken wurden auch in Firefox 1.5.0.9 und Thunderbird 1.5.0.9 korrigiert. In SeaMonkey 1.0.7 sind die Fehler ebenfalls ausgemerzt. Für Firefox 2.0.0.1 erwähnen die Entwickler explizit, dass nun auch Windows Vista unterstützt wird – allerdings noch mit einigen Problemen; so sind etwa einige Maßnahmen zu beachten für das automatische Update, auch kann Firefox noch nicht zum Default-Webbrowser unter Vista gemacht werden. Die Entwickler erwähnen zudem zwar in den Release-Notes für Thunderbird 1.5.0.9 den Fehler mit teilweise unaufgefordert gelöschten Mails nicht, laut dem Eintrag in Bugzilla wurde der Fehler aber mit der Version 1.5.0.9 korrigiert.

Firefox 2.0.0.1 und 1.5.0.9 sowie Thunderbird 1.5.0.9 stehen in diversen Landessprachen, darunter Deutsch, über die Downloadseiten von Mozilla bereit, werden aber auch über das Software-Update der Anwendungen verteilt. Firefox 1.0.x und Thunderbird 1.0.x werden nicht mehr unterstützt, sodass die Fehler dort nicht mehr behoben werden. Anwender sollten auf die aktuellen Releases wechseln.

Siehe dazu auch:

(dab)

469 Kommentare

  1. Firefox 41 mit Textchat

    Firefox-Logo

    Die neue Firefox-Version bringt nur wenige Neuerungen, darunter allerdings eine spezielle Anpassung für den Werbeblocker Adblock Plus.

  2. Mozilla möchte Mail-Client Thunderbird loswerden

    Mozilla Thunderbird

    Mozilla-Chefin Mitchell Baker plädiert für eine Trennung von Thunderbird und Firefox. Die beiden Projekte würden sich gegenseitig in ihrer Entwicklung behindern. Eine endgültige Entscheidung über die Loslösung ist aber noch nicht gefallen.

  3. Firefox 37: Mehr Sicherheit mit zentralen Sperrlisten

    Firefox 37: Mehr Sicherheit mit zentralen Sperrlisten

    Viele neue Sicherheitfunktionen, viele Verbesserungen für Entwickler bringt der neue Mozilla-Browser - und eine Feedback-Funktion, die nicht nur auf Gegenliebe stoßen wird.

  4. Verschlüsselt chatten mit dem Tor Messenger

    Tor

    Mit dem offiziellen Tor Messenger sollen Nutzer out of the box verschlüsselt chatten können. Neben Anonymität und Sicherheit stehe zudem die einfache Bedienung im Vordergrund. Davon können sich Interessierte anhand einer Beta nun selbst überzeugen.

  1. Einstieg in die Entwicklung für Firefox OS

    Im Zeitraum von 10. Dezember 2013 bis 10. Januar 2014 stellten Brasilianer den Gutteil der TouchCalc-Nutzer dar (Abb. 2)

    Nach dem überzeugenden Launch des mobilen Betriebssystems der Mozilla Foundation scheint nun erst mal das Tempo etwas heruntergeschraubt zu sein. Zeit für Entwickler, sich mit den Besonderheiten beim Schreiben von Apps für Firefox OS vertraut zu machen.

  2. Was Fedora 23 Neues bringt

    Fedora-Desktop

    Fedora will das BIOS-Update erleichtern und macht Fortschritte beim Umstieg auf Wayland. Neu ist auch eine Cinnamon-Distribution und Unterstützung für OpenGL 4.1.

  3. Kernel-Log – Was 3.8 bringt (3): Treiber

    Der Linux-Kernel bringt jetzt alles Nötige mit, um die 3D-Beschleunigung sämtlicher GeForce-Grafikchips zu verwenden. Neu dabei sind auch Treiber für einen Wireless-Gigabit-Chip und einen PCIe-WLAN-Chip von Realtek.

  1. Grafikeffekte am Beispiel von "Rise of the Tomb Raider" erklärt

    Tomb Raider

    Seit ein paar Tagen reden alle nur noch von Laras Haaren. Doch nicht nur die Haarsimulation "Pure Hair" beeindruckt, auch verbesserte Ambient Occlusion, Hardware-Tessellation et cetera hieven Spiele auf ein neues grafisches Niveau.

  2. SCO vs. Linux/Unix: Etappensieg für IBM

    SCO vs. Linux

    SCO? Da war doch mal was? Aber ja. Und wir sind nicht in einer Zeitschleife: Die unendliche Geschichte geht weiter, wenngleich auf Sparflamme. IBM hat den ersten von zwei Schadensersatzansprüchen der SCO Group entkräften können.

  3. GTC4 Lusso: Ferrari Grand-Tourer mit Allradantrieb und -lenkung

    Ferrari stellt mit dem GTC4 Lusso eine weitere Entwicklungsstufe seines sportlichen Grand-Tourer-Konzepts erstmals auf dem Autosalon in Genf (3. bis 13. März) vor. Der zweitürige Viersitzer bringt erstmals Allradantrieb mit Allradlenkung zusammen

  4. Neuer Fiat Tipo: Preise veröffentlicht

    Fiat

    Die Bezeichnung Tipo hat bei Fiat eine lange Tradition. Mit dem neuesten Modell könnte ein erfolgreiches Kapitel hinzukommen, denn die Italiener wollen ihn günstig verkaufen und haben auch Schrägheck in Kombi in Vorbereitung

Anzeige