Zahlreiche Lücken in Firefox geschlossen
Unter den Lücken finden sich auch mehrere kritische, die Angreifer zum Einschleusen und Ausführen von Code ausnutzen können.
- Daniel Bachfeld
Die Firefox-Entwickler haben Version 3.5.6 ihres Browsers vorgelegt, die zahlreiche Sicherheitslücken beseitigt. Drei der dazugehörigen Fehlerberichte beschreiben mehrere kritische Lücken in den Media-Bibliotheken libtheora (Video) und liboggplay (Audio) sowie in der Browser-Engine und der JavaScript-Engine. Bei den meisten dieser Probleme hat man zwar nur Abstürze etwa aufgrund von Integer Overflows oder Speicherlecks beobachtet, die Entwickler schließen aber nicht aus, dass sich die Fehler auch zum Einschleusen und Ausführen von Code durch präparierte Webseiten ausnutzen lässt.
Darüber hinaus behebt das Update mögliche Spoofing-Schwachstellen aufgrund der Manipulation des "document.location"-Objects sowie ein Problem in Zusammenhang mit der Authentifizierung auf Webseiten via NTLM. Abgesehen von den Problemen in den Media-Bibliotheken, die es erst seit der HTML- 5-Unterstützung in Version 3.5 gibt, finden sich alle Fehler auch in Firefox 3.0.x, sodass die Entwickler für diesen Zweig das Update 3.0.16 veröffentlicht haben. Daneben beseitigen die neuen Versionen nicht näher benannte Stabilitätsprobleme. In Version 2.0.1 von SeaMonkey sind die Probleme ebenfalls gelöst.
Siehe dazu auch:
(dab)
