Mozilla schließt Lücken in Firefox 4.0 und Co.

Mozilla hat einige Sicherheitslücken in Firefox, Thunderbird und SeaMonkey geschlossen, die Angreifer unter anderem zum Einschleusen von Schadcode missbrauchen können. Firefox wurde dabei auf die Versionen 4.0.1 , 3.6.17 und 3.5.19 aktualisiert, sodass auch Anwender, die nicht auf den aktuellen Versionsszweig umsteigen möchten, geschützt sind. Bei Thunderbird ist nun Version 3.1.10 aktuell, SeaMonkey wurde auf Version 2.0.14 aktualisiert.

Für Firefox 4 ist dies das erste Update. Hier sorgen unter anderem mehrere Fehler im Modul WebGLES dafür, dass Angreifer durch einen Buffer Overflow Schadcode ins System einschleusen und die Speicherverwürfelung (ASLR, Adress Space Layout Randomisation) von Windows Vista und 7 umgehen können. Die beiden anderen Firefox-Versionen und SeaMonkey können Angreifer unter anderem in Verbindung mit dem unter Mac OS X vorinstallierten Java-Plugin für eine Rechteausweitung (Privilege Escalation) missbrauchen.

Ein Changelog für Thunderbird liegt derzeit noch nicht vor. Zudem wurden diverse Fehler in der Speicherverwaltung der Browser-Engine behoben, wovon alle Anwendungen betroffen sind. Da in allen Programmen kritische Lücken geschlossen wurden, sollte man die Updates schnellstmöglich einspielen – sei es nun über den Auto-Update des jeweiligen Programms oder eine manuelle Installation. (rei)