Firefox: Weiterbrowsen trotz Plug-in-Absturz [2.Update]

Mit dem Update 3.6.4 des Web-Browsers sollen AbstĂĽrze von Adobes Flash-, Apples Quicktime- oder Microsofts Silverlight-Plug-in nicht mehr den kompletten Browser mit in den Abgrund ziehen. Zudem schlieĂźt das Update kritische LĂĽcken.

In Pocket speichern vorlesen Druckansicht 276 Kommentare lesen
Lesezeit: 2 Min.
Von
  • Daniel Bachfeld

In der nun vorgelegten Version 3.6.4 des Web-Browsers Firefox sollen Abstürze von Adobes Flash-, Apples Quicktime- oder Microsofts Silverlight-Plug-in nicht mehr den kompletten Browser mit in den Abgrund ziehen. Vielmehr soll das Weitersurfen in anderen geöffneten Tabs möglich sein. Zudem soll sich das abgestürzte Tab durch einfaches Neuladen (Refresh) wiederbeleben lassen.

Gerade fĂĽr Anwender, die mit mehreren Tabs arbeiten, dĂĽrfte die neue Funktion die Arbeit erleichtern, bringen doch gerade Flash-Applets den Mozilla-Browser immer mal wieder zum Stillstand. Wie gut das in der Praxis funktioniert, muss sich noch zeigen.

Version 3.6.4 beseitigt sieben SicherheitslĂĽcken, von denen die Entwickler vier als kritisch einstufen. Davon sind auch Firefox 3.5.9, Thunderbird 3.0.4 sowie SeaMonkey 2.0.4 betroffen, fĂĽr die nun ebenfalls jeweils korrigierte Fassungen vorliegen (Firefox 3.5.10 , Thunderbird 3.0.5 sowie SeaMonkey 2.0.5).

[Update:] Eine von Michal Zalewski entdeckte Möglichkeit für URL-Spoofing wurde indes noch nicht beseitigt. Zalewski hat dazu eine kurze Demo programmiert, die zeigt, wie sich beim Laden einer leeren Seite eine beliebige URL in der Adress-Leiste einblenden lässt und man anschließend den Inhalt manipulieren kann. Zalewski hat die Informationen nach eigenen Angaben schon jetzt veröffentlicht , weil er annahm, dass die Entwickler die Lücke bereits in Version 3.6.4 geschlossen hätten. Dies soll nun in der kommenden Version 3.6.6 geschehen – Version 3.6.5 wird übersprungen. Safari hat ein ähnliches Problem. [/Update]

[2.Update] Offenbar hat bereits Robert Hansen (aka RSnake) die Lücke vor Zalewski entdeckt und schon im Dezember 2009 auf ha.ckers.org eine ähnliche, aber praktikablere Demo und eine Beschreibung dazu veröffentlicht. RSnakes Demo verschleiert die Herkunft eines Plug-in-Downloads. Während sich die originale Firefox-Add-on-Seite im Browser öffnet, versucht gleichzeitig die Seite ha.ckers.org dem Anwender eine (harmlose) Erweiterung unterzuschieben. (dab)