Logo von Open Source

Suche
469

Mehrere kritische Lücken in Firefox und Thunderbird beseitigt

Die Mozilla Foundation hat neue Versionen ihres Browsers und ihres Mail-Clients für Windows, Linux und Mac OS X veröffentlicht, in der mehrere kritische Sicherheitslücken beseitigt sind. Ein Angreifer konnte darüber die Kontrolle über den Rechner übernehmen. Dazu genügt bereits der Besuch einer manipulierten Webseite oder das Öffnen einer bösartigen Mail. Die Aktualisierungen werden bereits über das automatische Update verteilt.

Anzeige

In Firefox 2.0.0.1 sind insgesamt acht Lücken geschlossen, fünf davon stufen die Entwickler als kritisch ein. Dazu gehören unter anderem ein Speicherzugriffsfehler beim Verarbeiten von SVG-Comment-Objects (Scalable Vector Graphics), über den sich Code einschleusen und ausführen lassen soll. Nicht ganz so einfach soll sich nach Einschätzung des Fehlerberichts der Mozilla-Foundation ein Fehler im LiveConnect-Code ausnutzen lassen, der die Kommunikation zwischen JavaScript und Java Applets ermöglicht. In der Regel stürze der Browser bei einem Angriff nur ab, man schließe aber nicht aus, dass mit einiger Anstrengung auch Codeausführung möglich ist. Da Thunderbird standardmäßig keine Applets lädt, kann das Problem dort eigentlich nicht auftreten – dennoch ist der fehlerhafte Code auch dort enthalten.

Zudem können Angreifer über die JavaScript-Methode watch() zum Beobachten von Werten in Skripten einen Rechner mit Schadcode infizieren. Genauere Angaben macht die Mozilla Foundation nicht, auf allen Bugzilla-Einträgen zu den Fehlern liegt während der "aktiven Update-Periode" noch ein Embargo. Teilweise veröffentlichen aber die Entdecker der Lücken bereits ihre eigenen Fehlerberichte.

Ein Heap Overflow tritt zudem bei der Umwandlung von präparierten Bildern in Windows-Bitmaps auf. Dazu müssen aber laut Bericht zusätzlich die Eigenschaften des CSS-Cursors in einer Seite manipuliert werden. Von dem Fehler ist nur die Windows-Version von Firefox betroffen.

Darüber hinus wurde die Stabilität der Browser verbessert, sodass weniger Abstürze auftreten sollen. Da einige dieser Abstürze Hinweise auf Speicherlecks lieferten, über die Angreifer eventuell Code in den Speicher schreiben und anspringen können, hat man dieses Problem ebenfalls als kritisch eingestuft.

Schlußendlich wurden noch zwei Cross-Site-Scripting-Schwachstellen (XSS) beseitigt und ein Problem mit RSS-Feeds behoben. Eine der XSS-Lücken findet sich nur in Firefox 2.0, die anderen Lücken wurden auch in Firefox 1.5.0.9 und Thunderbird 1.5.0.9 korrigiert. In SeaMonkey 1.0.7 sind die Fehler ebenfalls ausgemerzt. Für Firefox 2.0.0.1 erwähnen die Entwickler explizit, dass nun auch Windows Vista unterstützt wird – allerdings noch mit einigen Problemen; so sind etwa einige Maßnahmen zu beachten für das automatische Update, auch kann Firefox noch nicht zum Default-Webbrowser unter Vista gemacht werden. Die Entwickler erwähnen zudem zwar in den Release-Notes für Thunderbird 1.5.0.9 den Fehler mit teilweise unaufgefordert gelöschten Mails nicht, laut dem Eintrag in Bugzilla wurde der Fehler aber mit der Version 1.5.0.9 korrigiert.

Firefox 2.0.0.1 und 1.5.0.9 sowie Thunderbird 1.5.0.9 stehen in diversen Landessprachen, darunter Deutsch, über die Downloadseiten von Mozilla bereit, werden aber auch über das Software-Update der Anwendungen verteilt. Firefox 1.0.x und Thunderbird 1.0.x werden nicht mehr unterstützt, sodass die Fehler dort nicht mehr behoben werden. Anwender sollten auf die aktuellen Releases wechseln.

Siehe dazu auch:

(dab)

469 Kommentare

  1. Mail-Client Thunderbird 31 korrigiert zahlreiche Fehler

    Thunderbird 31: Die Adress- und Betreffzeile wurden etwas aufgehübscht.

    Mozilla hat ein größeres Update von Thunderbird veröffentlicht: Version 31 verbessert die Autovervollständigung von Mail-Adressen und behebt viele Fehler.

  2. OS X Yosemite protokolliert Eingaben in Firefox und Thunderbird

    OS X Yosemite protokolliert Eingaben in Firefox und Thunderbird

    Ein Apple-Framework erstellt in OS X 10.10 Log-Dateien über sämtliche Eingaben, die ein Nutzer in Browser oder E-Mail-Client vornimmt, warnt Mozilla. Ein Update schließt die Schwachstelle – die mitgeschriebenen Daten müssen aber manuell entfernt werden.

  3. Chrome- und Firefox-Entwickler schließen gravierende Lücke

    Google Chrome

    Nahezu gleichzeitig sind neue Versionen der Browser von Mozilla und Google erschienen. Sie beheben einen Fehler, durch den es Angreifern möglich wurde, sichere Verbindungen mit anderen Websites vorzutäuschen.

  1. Einstieg in die Entwicklung für Firefox OS

    Im Zeitraum von 10. Dezember 2013 bis 10. Januar 2014 stellten Brasilianer den Gutteil der TouchCalc-Nutzer dar (Abb. 2)

    Nach dem überzeugenden Launch des mobilen Betriebssystems der Mozilla Foundation scheint nun erst mal das Tempo etwas heruntergeschraubt zu sein. Zeit für Entwickler, sich mit den Besonderheiten beim Schreiben von Apps für Firefox OS vertraut zu machen.

  2. Thunderbird: Mails mit PGP verschlüsseln

    In Thunderbird sind nur wenige Handgriffe nötig, um E-Mails mit PGP zu verschlüsseln. Im Video zeigen wir Ihnen, welche das sind.

  3. Kernel-Log – Was 3.8 bringt (3): Treiber

    Der Linux-Kernel bringt jetzt alles Nötige mit, um die 3D-Beschleunigung sämtlicher GeForce-Grafikchips zu verwenden. Neu dabei sind auch Treiber für einen Wireless-Gigabit-Chip und einen PCIe-WLAN-Chip von Realtek.

  1. Der Sauberwürfel

    Kia Soul EV

    Ein Ausfahrt mit dem Kia Soul zeigt: Er ist bei nüchterner Betrachtung eins der am besten gemachten Elektroautos auf dem Markt. In sich harmonisch, sparsam und qualitativ hochwertig. Dazu kommt ein erstklassiges Preis-Leistungsverhältnis

  2. African Queen 2

    Honda, Zweirad

    Der Honda Africa Twin eilt ein legendärer Ruf voraus. Sie wurde konzipiert, um auch abseits befestigter Wege lange Distanzen halbwegs komfortabel überbrücken zu können. Zwischen 1988 und 2004 hatte sie einen treuen Fankreis. Nun kommt endlich eine Neuauflage

  3. Geladen

    Klartext

    Zum ZOE-Test kam der Test der EnBW-Ladeinfrastruktur. So erfreulich das Auto war, so unerfreulich war das Laden. Nichts funktioniert. E-Mobilität wurde nicht besser, sondern sogar noch schlimmer

  4. Weniger ist mehr

    Fahrbericht: Fiat 500X 1.4 MultiAir DCT 4x2

    Fiat hat seine Alternative zum Mini Countryman überarbeitet. Wir probierten die völlig neue Kombination 1.4 Multiair mit Doppelkupplungsgetriebe und stellen fest: Hier ist weniger mal mehr. Der Rest ist vor allem Geschmackssache

Anzeige