Entwickler schließen Sicherheitslücken in Mozilla-Software

Die Mozilla-Entwickler haben mit neuen Programmversionen mehrere, teils kritische Schwachstellen in Firefox, Thunderbird und Seamonkey geschlossen.

In Pocket speichern vorlesen Druckansicht 245 Kommentare lesen
Lesezeit: 3 Min.
Von

Die Mozilla-Entwickler haben zahlreiche Sicherheitslücken in den Open-Source-Programmen Firefox, Thunderbird und Seamonkey geschlossen. Die Lücken erlaubten Angreifern, Schadcode einzuschleusen, Cross-Site-Scripting-Angriffe auszuführen oder Teile des Anwendungsfensters mit fremden Inhalten zu überlagern.

Die Entwickler haben unter anderem an der Stabilität der Programme geschraubt. Die dabei behobenen Fehler in der Layout- und JavaScript-Engine, die Abstürze verursachten, konnten teilweise zum Einschleusen von fremdem Programmcode dienen. Die JavaScript-Funktion addEventListener konnten Angreifer missbrauchen, um die browserseitige Prüfung auf die gleiche Ursprungs-Domain zu umgehen und so Skript-Code aus anderen Domains in die aktuelle Seite injizieren.

In Thunderbird konnten die Anmeldedaten für Mailserver, die mit der verschlüsselten APOP-Authentifizierung geschützt waren, leichter geknackt werden, da das Programm das Protokoll nicht strikt genug umgesetzt hat. Elemente in der Beschreibungssprache für die Optik und das Layout der Mozilla-Programme XUL konnten bösartige Individuen so platzieren, dass sie Bereiche außerhalb der eigentlichen Inhaltsanzeige lagen, also etwa über der Adressleiste im Browser.

Außerdem haben die Mozilla-Entwickler eine fehlende Längeprüfung für Pfadangaben für Cookies nachgerüstet. Angreifer konnten dadurch große Mengen an Speicherplatz belegen und möglicherweise einen Denial-of-Service provozieren. Durch eine fehlende Prüfung auf das intern verwendete Trennzeichen zwischen den Werten für den Cookie-Pfad und den Feldnamen konnten etwa gekaperte, unsichere Webserver fälschlicherweise sichere Cookies schreiben.

Die Fehler betreffen die Programmversionen vor den jetzt herausgegebenen Fassungen Firefox 2.0.0.4 und 1.5.0.12, Thunderbird 2.0.0.4 und 1.5.0.12 sowie Seamonkey 1.1.2 und 1.0.9. Da Angreifer in den Vorgängerversionen möglicherweise Schadcode einschleusen können, sollten Mozilla-Nutzer das Update so bald wie möglich einspielen. Für Firefox wird bereits ein automatisches Update angeboten, in Kürze dürften auch die Aktualisierungen für Thunderbird und Seamonkey automatisch verteilt werden.

Firefox 1.5.0.12 soll die letzte unterstützte 1.5er-Version sein. Die Entwickler wollen "in wenigen Wochen" ein automatisches Update auf die 2er-Version des Browsers anbieten.

Siehe dazu auch:

(dmk)