Webbrowser Firefox 3.0.5 schließt mehrere Sicherheitslücken
Für Firefox 2 ist zudem das letzte Update erschienen, in dem bereits der Phishing-Schutz deaktiviert ist. Einem Hersteller von Softwareverwaltungstools zufolge führt Firefox die Liste der am meisten verwundbaren Anwendungen unter Windows an.
- Daniel Bachfeld
Die Firefox-Entwickler haben Version 3.0.5 vorgelegt, in der acht Sicherheitslücken beseitigt sind. Drei davon haben die Entwickler als kritisch eingestuft, wovon zwei das Aushebeln der Same-Origin-Policy und damit das Ausführen von JavaScript im Kontext anderer Seiten ermöglichen. Die dritte kritische Lücke ist auf mehrere Fehler in der Browser-Engine zurückzuführen, die in der Regel zum Absturz des Browsers führen. Allerdings gibt es Hinweise darauf, dass sich darüber auch Code einschleusen und ausführen lässt. Die Entwickler gehen in solchen Fällen in der Regel auf Nummer sicher und stufen daher auch solche potenziellen Lücken als kritisch ein.
Eine vierte Lücke wird als weniger kritisch angesehen, sie ermöglicht aber immerhin JavaScripten auf einer bösartigen Seite den Cross-Domain-Zugriff auf Daten nach einem Redirect auf eine andere Seite. Die restlichen Probleme in Firefox sind eher unkritisch.
In Firefox 2.0.0.19 sind die gleichen Lücken wie in 3.0.5 beseitigt. Zusätzlich wurde aber noch eine Cross-Site-Scripting-Lücke im Feed Preview aus der Welt geschaffen. Für die Version 2.x ist dies das letzte Update. Die Reihe wird ab nun nicht mehr weitergepflegt, Sicherheits-Updates gibt es keine mehr. Darüber hinaus wurde für die Version 2.x der Pishing-Schutz wie angekündigt deaktiviert. Anwender erhalten nun beim Aufruf von betrügerischer Seiten keine Warnungen mehr. Die Mozilla Foundation empfiehlt Anwendern, auf die Firefox-Version 3.0 umzusteigen.
Zudem ist SeaMonkey in Version 1.1.14 erschienen, in dem ebenfalls mehrere Lücken geschlossen sind. Von einigen der nun beseitigten Probleme ist auch der Mailclient Thunderbird betroffen. Üblicherweise erscheint ein Update aber erst einige Tage nach Veröffentlichung der Browser. Ohnehin ist derzeit nicht ganz klar, wie es mit Sicherheits-Updates für Thunderbird 2 weitergeht, der auf der Gecko-Engine 1.8 beruht, die mit Einstellung des Supports für Firefox 2.x nun aber nicht mehr gepflegt werden soll. Der Nachfolger Thunderbird 3 dürfte indes noch einige Monate auf sich warten lassen.
Unterdessen führt Firefox nach Angaben des Herstellers Bit9, einem Spezialisten für Application Whitelisting und Application Control, die Liste der am meisten verwundbaren Anwendungen (PDF-Datei) unter Windows an. Dicht darauf folgen Adobe Reader, Adobe Flash, VMware, Java und QuickTime. Auf die Liste gelangten jedoch nur solche Anwendungen, die sich nicht durch Softwareverteilungs- und Update-Tools wie Microsoft SMS und WSUS aktualisieren lassen.
Siehe dazu auch:
- Mozilla amputiert Phishing-Schutz in Firefox 2, Bericht auf heise Security
- Firefox 2: Das Ende naht, Bericht auf heise Security
(dab)
