Firefox 2.0.0.5 beseitigt SicherheitslĂĽcken [2. Update]
Die neue Version beseitigt bislang noch unbekannte SicherheitslĂĽcken; offensichtlich ist auch ein Patch fĂĽr die LĂĽcke dabei, die durch trickreiches Zusammenspiel mit dem Internet Explorer ausgenutzt werden kann.
Die Mozilla-Entwickler haben das Update 2.0.0.5 für ihren Web-Browser Firefox bereitgestellt. Er ist über die automatische Update-Funktion verfügbar, steht aber auch für Windows, Mac OS X und Linux in diversen Sprachen zum Download bereit. Firefox-Nutzern wird empfohlen, ihren Web-Browser schnellstmöglich zu aktualisieren.
Neue Funktionen hat das Update nicht zu bieten. Es beseitigt anscheinend unter anderem die kĂĽrzlich bekannt gewordene SicherheitslĂĽcke, die sich durch ein trickreiches Zusammenspiel mit Microsofts Internet Explorer auftut. Zumindest die Demonstrationsseite von Thor Larholm funktionierte bei einem Test von heise Security nach der Installation des Updates nicht mehr.
In der Liste der beseitigten Schwachstellen ist das aktuelle Firefox-Update noch nicht aufgeführt. Kurz nach Bekanntwerden der Sicherheitslücke im Zusammenspiel mit dem Internet Explorer war aber bereits die Rede davon, dass sie noch in diesem Monat mit der Version 2.0.0.5 beseitigt werden soll – die Sicherheitsmeldungen für das 2.0.0.5er-Release scheinen derzeit aber noch in der Vorbereitung zu sein. Die Meldungen für die Firefox-Version 2.0.0.4 reichten bis MFSA-2007-17. Jetzt reichen die Advisories bis MFSA-2007-25; sie enthalten zwar bislang nur Dummy-Einträge, aber auch den Hinweis "Fixed in: Firefox 2.0.0.5". Insgesamt schließen die Entwickler daher wahrscheinlich acht Sicherheitslücken mit der neuen Browser-Version.
[Update]:
Mittlerweile haben die Entwickler die Informationen über die korrigierten Sicherheitslücken freigeschaltet. Tatsächlich werden acht Lecks gestopft, darunter die bereits angesprochene Lücke im Zusammenspiel mit dem Internet Explorer. Auch das Sicherheitsproblem beim Zugriff auf wyciwyg://-URIs, das am Wochenende bekannt wurde und für Spoofing genutzt werden konnte, ist behoben. Außerdem wurden als schwerwiegende Fehler unter anderem Bugs behoben, die zu Abstürzen mit der Möglichkeit führten, Code einzuschleusen, und ein Leck geschlossen, mit dem über den Event-Handler eine Rechteausweitung gelang.
[2. Update]:
Laut den Fehlermeldungen der Mozilla-Entwickler betreffen zwei SicherheitslĂĽcken auch das Mailprogramm Thunderbird. Es kann abstĂĽrzen und dabei eingeschleuster Programmcode zur AusfĂĽhrung kommen. AuĂźerdem kann der Fehler im Zusammenspiel zwischen Internet Explorer und Firefox auch mit dem IE und Thunderbird auftreten. Thunderbird 2.0.0.5 wird in den Sicherheitsmeldungen zu den beiden LĂĽcken zwar angekĂĽndigt, steht allerdings noch nicht zum Download auf den Mozilla-Servern bereit. Die neue Version sollte jedoch in KĂĽrze hier erscheinen.
(anw)
