Firefox 2.0.0.5 beseitigt Sicherheitslücken [2. Update]
Die neue Version beseitigt bislang noch unbekannte Sicherheitslücken; offensichtlich ist auch ein Patch für die Lücke dabei, die durch trickreiches Zusammenspiel mit dem Internet Explorer ausgenutzt werden kann.
Die Mozilla-Entwickler haben das Update 2.0.0.5 für ihren Web-Browser Firefox bereitgestellt. Er ist über die automatische Update-Funktion verfügbar, steht aber auch für Windows, Mac OS X und Linux in diversen Sprachen zum Download bereit. Firefox-Nutzern wird empfohlen, ihren Web-Browser schnellstmöglich zu aktualisieren.
Neue Funktionen hat das Update nicht zu bieten. Es beseitigt anscheinend unter anderem die kürzlich bekannt gewordene Sicherheitslücke, die sich durch ein trickreiches Zusammenspiel mit Microsofts Internet Explorer auftut. Zumindest die Demonstrationsseite von Thor Larholm funktionierte bei einem Test von heise Security nach der Installation des Updates nicht mehr.
In der Liste der beseitigten Schwachstellen ist das aktuelle Firefox-Update noch nicht aufgeführt. Kurz nach Bekanntwerden der Sicherheitslücke im Zusammenspiel mit dem Internet Explorer war aber bereits die Rede davon, dass sie noch in diesem Monat mit der Version 2.0.0.5 beseitigt werden soll – die Sicherheitsmeldungen für das 2.0.0.5er-Release scheinen derzeit aber noch in der Vorbereitung zu sein. Die Meldungen für die Firefox-Version 2.0.0.4 reichten bis MFSA-2007-17. Jetzt reichen die Advisories bis MFSA-2007-25; sie enthalten zwar bislang nur Dummy-Einträge, aber auch den Hinweis "Fixed in: Firefox 2.0.0.5". Insgesamt schließen die Entwickler daher wahrscheinlich acht Sicherheitslücken mit der neuen Browser-Version.
[Update]:
Mittlerweile haben die Entwickler die Informationen über die korrigierten Sicherheitslücken freigeschaltet. Tatsächlich werden acht Lecks gestopft, darunter die bereits angesprochene Lücke im Zusammenspiel mit dem Internet Explorer. Auch das Sicherheitsproblem beim Zugriff auf wyciwyg://-URIs, das am Wochenende bekannt wurde und für Spoofing genutzt werden konnte, ist behoben. Außerdem wurden als schwerwiegende Fehler unter anderem Bugs behoben, die zu Abstürzen mit der Möglichkeit führten, Code einzuschleusen, und ein Leck geschlossen, mit dem über den Event-Handler eine Rechteausweitung gelang.
[2. Update]:
Laut den Fehlermeldungen der Mozilla-Entwickler betreffen zwei Sicherheitslücken auch das Mailprogramm Thunderbird. Es kann abstürzen und dabei eingeschleuster Programmcode zur Ausführung kommen. Außerdem kann der Fehler im Zusammenspiel zwischen Internet Explorer und Firefox auch mit dem IE und Thunderbird auftreten. Thunderbird 2.0.0.5 wird in den Sicherheitsmeldungen zu den beiden Lücken zwar angekündigt, steht allerdings noch nicht zum Download auf den Mozilla-Servern bereit. Die neue Version sollte jedoch in Kürze hier erscheinen.
(anw)
