Firefox 1.0.7 geht an den Start
Die neue Version bessert einige Fehler aus und schlieĂźt auch eine erst heute bekannt gewordene LĂĽcke.
Die neue Release 1.0.7 des beliebten Alternativ-Browsers Firefox stopft eine kritische Lücke in der Linux-Version und bessert weitere Fehler aus. Das Entwickler-Team rät zu einem umgehenden Update auf die neue Version des Browsers und stellt zugleich die englische Fassung bereit.
Durch die neu entdeckte Lücke in den Linux-Versionen des Browsers können beim Programmaufruf von Firefox mit einer URL als Parameter beliebige Befehle auf der Shell ausgeführt werden. Dieses Leck entsteht durch eine fehlerhafte Eingabeprüfung im aufgerufenen Script, wodurch mit "`" in die URL eingebettete Befehle ausgeführt werden. Beispielsweise Mail-Clients rufen Links in E-Mails derartig auf, sodass ein Angreifer mit präparierten Mails Schaden anrichten könnte.
Obendrein fixen die Mozilla-Entwickler die LĂĽcke beim Parsen internationaler Domain-Namen -- also Internetadressen mit Umlauten und anderen internationalen Sonderzeichen --, fĂĽr die es bisher nur einen Workaround gab.
Bis jetzt findet sich auf den Mozilla-Servern nur die englische Fassung der neuen Release, in KĂĽrze sollte sich aber auch das Download-Verzeichnis fĂĽr die ĂĽbersetzten Versionen fĂĽllen.
Siehe dazu auch: (dmk)
- Changelog der Mozilla-Entwickler zu Firefox 1.0.7
- Download-Verzeichnis auch fĂĽr lokalisierte Firefox-1.0.7-Versionen
- Meldung zur IDN-LĂĽcke von heise Security
- Bugzilla-Eintrag zum Linux-Kommandozeilen-Fehler in Firefox 1.0.6
