Logo von Security

Suche
Abonnieren

Tägliche Top-News bei WhatsApp, Facebook Messenger, Telegram & Insta

preisvergleich_weiss

Recherche in 1.508.171 Produkten

Daniel Bachfeld 469

Alert Mehrere kritische Lücken in Firefox und Thunderbird beseitigt

Die Mozilla Foundation hat neue Versionen ihres Browsers und ihres Mail-Clients für Windows, Linux und Mac OS X veröffentlicht, in der mehrere kritische Sicherheitslücken beseitigt sind. Ein Angreifer konnte darüber die Kontrolle über den Rechner übernehmen. Dazu genügt bereits der Besuch einer manipulierten Webseite oder das Öffnen einer bösartigen Mail. Die Aktualisierungen werden bereits über das automatische Update verteilt.

In Firefox 2.0.0.1 sind insgesamt acht Lücken geschlossen, fünf davon stufen die Entwickler als kritisch ein. Dazu gehören unter anderem ein Speicherzugriffsfehler beim Verarbeiten von SVG-Comment-Objects (Scalable Vector Graphics), über den sich Code einschleusen und ausführen lassen soll. Nicht ganz so einfach soll sich nach Einschätzung des Fehlerberichts der Mozilla-Foundation ein Fehler im LiveConnect-Code ausnutzen lassen, der die Kommunikation zwischen JavaScript und Java Applets ermöglicht. In der Regel stürze der Browser bei einem Angriff nur ab, man schließe aber nicht aus, dass mit einiger Anstrengung auch Codeausführung möglich ist. Da Thunderbird standardmäßig keine Applets lädt, kann das Problem dort eigentlich nicht auftreten – dennoch ist der fehlerhafte Code auch dort enthalten.

Zudem können Angreifer über die JavaScript-Methode watch() zum Beobachten von Werten in Skripten einen Rechner mit Schadcode infizieren. Genauere Angaben macht die Mozilla Foundation nicht, auf allen Bugzilla-Einträgen zu den Fehlern liegt während der "aktiven Update-Periode" noch ein Embargo. Teilweise veröffentlichen aber die Entdecker der Lücken bereits ihre eigenen Fehlerberichte.

Ein Heap Overflow tritt zudem bei der Umwandlung von präparierten Bildern in Windows-Bitmaps auf. Dazu müssen aber laut Bericht zusätzlich die Eigenschaften des CSS-Cursors in einer Seite manipuliert werden. Von dem Fehler ist nur die Windows-Version von Firefox betroffen.

Darüber hinus wurde die Stabilität der Browser verbessert, sodass weniger Abstürze auftreten sollen. Da einige dieser Abstürze Hinweise auf Speicherlecks lieferten, über die Angreifer eventuell Code in den Speicher schreiben und anspringen können, hat man dieses Problem ebenfalls als kritisch eingestuft.

Schlußendlich wurden noch zwei Cross-Site-Scripting-Schwachstellen (XSS) beseitigt und ein Problem mit RSS-Feeds behoben. Eine der XSS-Lücken findet sich nur in Firefox 2.0, die anderen Lücken wurden auch in Firefox 1.5.0.9 und Thunderbird 1.5.0.9 korrigiert. In SeaMonkey 1.0.7 sind die Fehler ebenfalls ausgemerzt. Für Firefox 2.0.0.1 erwähnen die Entwickler explizit, dass nun auch Windows Vista unterstützt wird – allerdings noch mit einigen Problemen; so sind etwa einige Maßnahmen zu beachten für das automatische Update, auch kann Firefox noch nicht zum Default-Webbrowser unter Vista gemacht werden. Die Entwickler erwähnen zudem zwar in den Release-Notes für Thunderbird 1.5.0.9 den Fehler mit teilweise unaufgefordert gelöschten Mails nicht, laut dem Eintrag in Bugzilla wurde der Fehler aber mit der Version 1.5.0.9 korrigiert.

Firefox 2.0.0.1 und 1.5.0.9 sowie Thunderbird 1.5.0.9 stehen in diversen Landessprachen, darunter Deutsch, über die Downloadseiten von Mozilla bereit, werden aber auch über das Software-Update der Anwendungen verteilt. Firefox 1.0.x und Thunderbird 1.0.x werden nicht mehr unterstützt, sodass die Fehler dort nicht mehr behoben werden. Anwender sollten auf die aktuellen Releases wechseln.

Siehe dazu auch:

(dab)

469 Kommentare

Themen:

Anzeige
  1. Thunderbird: Mozilla schließt mit Sicherheitsupdate kritische Lücken

    Sicherheitsupdate: Mozilla kümmert sich um kritische Lücken in Thunderbird

    In Thunderbird klaffen mehrere Sicherheitslücken, deren Bedrohungsgrad Mozilla mit "kritisch" und "hoch" einstuft. Eine abgesicherte Version ist verfügbar.

  2. Sicherheitsupdate: Angreifer könnten Thunderbird lahmlegen

    Sicherheitsupdate: Angreifer könnten Thunderbird lahmlegen

    In Thunderbird klaffen mehrere als kritisch eingestufte Sicherheitslücken. Die jüngst erschienene Version ist abgesichert.

  3. Firefox für Android kann sich an Schadcode verschlucken

    Firefox für Android kann sich an Schadcode verschlucken

    In der Version 51.0.3 haben die Firefox-Entwickler eine kritische Sicherheitslücke geschlossen. Von der Schwachstelle ist ausschließlich die Android-Version betroffen.

  4. Sicherheitsupdates: Zero-Day-Lücke in Firefox und Tor-Browser geschlossen

    Sicherheitsupdates: Zero-Day-Lücke in Firefox und Tor-Browser geschlossen

    Wer Firefox, Firefox ESR oder den Tor Browser einsetzt, sollte sicherstellen, dass die aktuellen abgesicherten Versionen installiert sind: Derzeit nutzen Angreifer aktiv eine kritische Sicherheitslücke aus.

  1. Mac: Signatur in Thunderbird einfügen

    Du möchtest, dass deine Signatur unter deinen Thunderbird-Mails erscheint? Dann folge einfach unserer Anleitung.

  2. Die Neuerungen von Linux 4.10

    Linux-Kernel 4.10

    Linux 4.10 bringt eine weitere Möglichkeit, um in virtuellen Maschinen den Grafikprozessor des Hosts zu verwenden. Ein RAID-Cache kann die Performance von Festplatten-Arrays steigern. Firefox soll nicht mehr so leicht ruckeln, wenn der Kernel große Datenmengen schreibt. Außerdem unterstützt Linux einen Schlafzustand moderner Notebooks jetzt besser.

  3. Was Fedora 23 Neues bringt

    Fedora-Desktop

    Fedora will das BIOS-Update erleichtern und macht Fortschritte beim Umstieg auf Wayland. Neu ist auch eine Cinnamon-Distribution und Unterstützung für OpenGL 4.1.

  1. Mac: Apple veröffentlicht neuen Safari-Browser und neue Entwicklungsumgebung Xcode 9

    Mac: Apple veröffentlicht neuen Safari-Browser und neue Entwicklungsumgebung Xcode 9

    Safari 11 ist für macOS 10.11 und und 10.12 gedacht und bietet Usability-Verbesserungen. Xcode 9 arbeitet mit iOS 11 und Co. zusammen.

  2. iPhone-SOS-Funktion in iOS 11: Polizei Toronto von Test-Notrufen überschwemmt

    iPhone-SOS-Funktion in iOS 11: Polizei Toronto von Test-Notrufen überschwemmt

    Die kanadische Polizeibehörde hat dazu aufgerufen, die neue Notruffunktion nicht mehr auszuprobieren – dies blockiere die Leitungen. Das iPhone kann nun auf Tastendruck hin einen Notruf absetzen.

  3. Verkaufsstart für iPhone 8 und Apple Watch 3 – ohne lange Schlangen

    Apple-Store

    Der in der Vergangenheit oft turbulente iPhone-Verkaufsstart fiel am Freitag vielerorts ruhig aus, das iPhone X kommt erst im November. Apple hat auch mit der Auslieferung von Apple Watch Series 3 und Apple TV 4K begonnen.

  4. Kopano und Mattermost: Exchange-Alternative mit Slack-Klon

    Exchange-Alternative mit Slack-Klon

    Die Entwickler der freien Groupware und Exchange-Alternative Kopano, die einst als Zarafa bekannt war, bauen ihr Werkzeug zur Zusammenarbeit in Arbeitsgruppen weiter aus: Jetzt hält mit Mattermost ein modernes Gruppen-Chat-System Einzug.

Anzeige