Kritische Lücken in Firefox, Thunderbird und SeaMonkey

Mozilla hat Firefox mit dem Update auf Version 9.0 nicht nur eine schnellere JavaScript-Engine beschert, sondern auch wieder einige kritische Lücken geschlossen. So führt etwa ein eingebettetes OGG-Videoelement mit "extremen" Ausmaßen zu einem Absturz, der sich unter Umständen zum Einschleusen von Schadcode eignet. Die Details der vertraulich gemeldeten Schwachstelle hält Mozilla derzeit noch unter Verschluss.

Zudem kann ein Angreifer durch einen Zugriff auf einen nicht zugewiesenen Speicherbereich Schadcode durch präparierte SVG-Dateien einschleusen. Ebenfalls kritisch ist ein noch nicht näher spezifizierter Crash in der YARR-Bibliothek, die für Regular Expressions zuständig ist. Daneben wurden weitere kritische Speicherfehler geschlossen.

Firefox-Nutzer, die weiterhin sicher im Netz surfen wollen, sollten umgehend auf die aktuelle Version 9.0 umsteigen. Die Schwachstellen finden sich auch in SeaMonkey, hier sorgt das Update auf Version 2.6 für Schutz. Thunderbird ist ebenfalls verwundbar, allerdings ist hier nur die erstgenannte Lücke kritisch. Abhilfe soll die Thunderbird-Version 9.0 schaffen, die jedoch noch nicht zum Download bereitsteht.

Update: Das Update auf Thunderbird 9.0 ist jetzt verfügbar.

Siehe dazu auch:

• Firefox im heise Software-Verzeichnis
• Thunderbird im heise Software-Verzeichnis
• SeaMonkey im heise Software-Verzeichnis

(rei)