Newsletter heise-Bot heise-Bot Push Nachrichten Push Push-Nachrichten

Firefox: Weiterbrowsen trotz Plug-in-Absturz [2.Update]

Mit dem Update 3.6.4 des Web-Browsers sollen Abstürze von Adobes Flash-, Apples Quicktime- oder Microsofts Silverlight-Plug-in nicht mehr den kompletten Browser mit in den Abgrund ziehen. Zudem schließt das Update kritische Lücken.

In Pocket speichern vorlesen Druckansicht 276 Kommentare lesen
Lesezeit: 2 Min.
Security
Von
  • Daniel Bachfeld

In der nun vorgelegten Version 3.6.4 des Web-Browsers Firefox sollen Abstürze von Adobes Flash-, Apples Quicktime- oder Microsofts Silverlight-Plug-in nicht mehr den kompletten Browser mit in den Abgrund ziehen. Vielmehr soll das Weitersurfen in anderen geöffneten Tabs möglich sein. Zudem soll sich das abgestürzte Tab durch einfaches Neuladen (Refresh) wiederbeleben lassen.

Gerade für Anwender, die mit mehreren Tabs arbeiten, dürfte die neue Funktion die Arbeit erleichtern, bringen doch gerade Flash-Applets den Mozilla-Browser immer mal wieder zum Stillstand. Wie gut das in der Praxis funktioniert, muss sich noch zeigen.

Version 3.6.4 beseitigt sieben Sicherheitslücken, von denen die Entwickler vier als kritisch einstufen. Davon sind auch Firefox 3.5.9, Thunderbird 3.0.4 sowie SeaMonkey 2.0.4 betroffen, für die nun ebenfalls jeweils korrigierte Fassungen vorliegen (Firefox 3.5.10 , Thunderbird 3.0.5 sowie SeaMonkey 2.0.5).

[Update:] Eine von Michal Zalewski entdeckte Möglichkeit für URL-Spoofing wurde indes noch nicht beseitigt. Zalewski hat dazu eine kurze Demo programmiert, die zeigt, wie sich beim Laden einer leeren Seite eine beliebige URL in der Adress-Leiste einblenden lässt und man anschließend den Inhalt manipulieren kann. Zalewski hat die Informationen nach eigenen Angaben schon jetzt veröffentlicht , weil er annahm, dass die Entwickler die Lücke bereits in Version 3.6.4 geschlossen hätten. Dies soll nun in der kommenden Version 3.6.6 geschehen – Version 3.6.5 wird übersprungen. Safari hat ein ähnliches Problem. [/Update]

[2.Update] Offenbar hat bereits Robert Hansen (aka RSnake) die Lücke vor Zalewski entdeckt und schon im Dezember 2009 auf ha.ckers.org eine ähnliche, aber praktikablere Demo und eine Beschreibung dazu veröffentlicht. RSnakes Demo verschleiert die Herkunft eines Plug-in-Downloads. Während sich die originale Firefox-Add-on-Seite im Browser öffnet, versucht gleichzeitig die Seite ha.ckers.org dem Anwender eine (harmlose) Erweiterung unterzuschieben. (dab)

Mehr zum Thema NEU

Immer informiert bleiben: Klicken Sie auf das Plus-Symbol an einem Thema, um diesem zu folgen. Wir zeigen Ihnen alle neuen Inhalte zu Ihren Themen.
Mehr erfahren.

Spiele

nach oben
Alle Angebote
Newsletter heise-Bot heise-Bot Push Nachrichten Push Push-Nachrichten