Mozilla-Updates stopfen kritische LĂĽcken
Wer veraltete Programmversionen von Firefox, Thunderbird und SeaMonkey nutzt, kann sein System leicht mit Schadcode infizieren.
- Ronald Eikenberg
Das Update von Firefox 9.01 auf die jüngst erschienene Version 10.0 bringt oberflächlich betrachtet nur wenig Neues, trotzdem führt kein Weg daran vorbei: Mozilla hat unter der Haube nämlich zahlreiche kritische Sicherheitslücken geschlossen, wie ein Blick auf die Security Advisories verrät.
Durch eine Schwachstelle im Ogg-Vorbis-Decoder könnte ein Angreifer etwa durch präparierte Videodateien Schadcode ins System einschleusen. Man muss sich lediglich auf eine speziell präparierte Webseite verirren, die beim Öffnen automatisch ein eingebettetes Schad-Video abspielt. Zudem war es unter anderem möglich, die Same-Origin-Policy des Browsers zu umgehen, um etwa beim Besuch einer vom Angreifer kontrollierten Webseite das Cookie für den Webmail-Zugriff abzugreifen (Cross-Site-Scripting).
Wer weiterhin sicher im Netz surfen will, sollte also schleunigst das Update installieren. Welche Version derzeit installiert ist, verrät Firefox nach einem Klick auf den Firefox-Button oben links, "Hilfe" und "Über Firefox". Hier kann man das Update anstoßen, sofern nicht bereits geschehen.
Wie gewohnt sind auch Thunderbird und SeaMonkey verwundbar, da die Programme in weiten Teilen auf dem gleichen Quellcode basieren. Abhilfe schaffen die Updates auf Thunderbird 10.0 und SeaMonkey 2.7.
Siehe dazu auch:
- Firefox im heise Software-Verzeichnis
- Thunderbird im heise Software-Verzeichnis
- SeaMonkey im heise Software-Verzeichnis
(rei)