Mozilla reagiert mit schnellem Firefox-Update

Einen Tag nachdem Mozilla Firefox 16 zurückgezogen hat, gibt es bereits eine neue Version. Die Details der Schwachstelle erklären auch Mozillas drastische Reaktion auf die Sicherheitslücke.

In Pocket speichern vorlesen Druckansicht 205 Kommentare lesen
Lesezeit: 2 Min.

Innerhalb eines Tages hat das Mozilla Firefox-Team wegen einer am 10.Oktober bekannt gewordenen Lücke im Firefox 16 ein Update bereit gestellt. Die drastische Maßnahme den Browser nur einen Tag nach seinem Erscheinen aus dem Verkehr zu ziehen, erklärt das jetzt aufgetauchte Skript, das die Lücke ausnutzt.

Mozillas Sicherheitschef Michael Coates hat das Sicherheitsproblem in seinem Blog zunächst wie folgt beschrieben: "Durch die Lücke könnte eine bösartige Seite eventuell ermitteln, welche Webseiten Nutzer besucht haben und Zugriff auf die URL und URL-Parameter nehmen." Das klang nach einem unschönen Privacy-Problem – insbesondere weil in URLs auch Benutzernamen oder sogar Passwörter auftauchen können. Weil die Version 16 jedoch selbst einige schwerwiegende Sicherheitslücken der Vorgänger beseitigt, rechtfertigt dies das Zurückziehen des Browsers aber nicht unbedingt. Immerhin ist das so genannte History Stealing kein ganz neues Problem.

Das aufgetauchte Skript zeigt jedoch, dass die Reaktion durchaus gerechtfertigt war. Denn der Demo-Code enthält einen Verstoß gegen die Same Origin Policy. Code der aus der selben Quelle stammt wie eine Webseite ("Same Origin"), genießt besondere Rechte. Dieser Code darf nahezu alle Elemente der Webseite lesen und sogar verändern, auch während diese bereits im Browser dargestellt wird. Die Demo zeigte, dass Code über die Grenzen der Same-Origin hinweg zumindest auf die URL zugreifen konnte. Wenn nicht ganz auszuschließen war, dass eventuell auch Zugriffe auf andere Seiten-Elemente möglich sind, dann stellt das das gesamte Sicherheitskonzept des Browsers in Frage.

Mit dem Update auf Firefox 16.0.1 hat Mozilla auch zwei weitere kritische Lücken geschlossen. Es handelt sich dabei um Probleme der Speicherverwaltung, die das Einschleusen und Ausführen von Code ermöglichen. Sie betreffen auch Thunderbird und Seamonkey, die ebenfalls entsprechende Updates bekommen haben.

Update: Auch Google hat in seinem Browser Chrome eine Sicherheitslücke beseitigt. Mit einem Update auf die Version 22.0.1229.94 wird eine Lücke geschlossen, über die Angreifer auf dem Rechner Schadcode ausführen können.


Siehe dazu auch:

(kbe)