Weitere Details zu gestopften Sicherheitslöchern in Firefox und Mozilla
Mit der Veröffentlichung von Firefox 1.0.1 haben die Entwickler auch eine Übersicht der beseitigten Sicherheitslücken herausgegeben. Einige davon finden sich auch in der aktuellen Mozilla-Version.
Kurz nach der Veröffentlichung von Firefox 1.0.1 haben die Entwickler eine Übersicht der beseitigten Sicherheitslücken herausgegeben. Ingesamt siebzehn Fehler wurden behoben, von denen einige bereits seit längerem bekannt waren. Zu den bislang noch unbekannten Lücken geben die Entdecker mittlerweile eigene Advisories heraus, so auch etwa der Sicherheitsdienstleister iDefense. Dieser hatte in Firefox und Mozilla eine Schwachstelle entdeckt, mit der ein Angreifer über einen präparierten Webserver Code auf den PC schleusen und ausführen kann. Die Entwickler stufen dieses Problem aber selbst eher als gering ein, weil es sich wohl nur sehr schwer ausnutzen lässt.
Da Firefox und Mozilla die gleiche Codebasis verwenden, finden sich viele der LĂĽcken auch in der Mozilla-Suite; die Fehler sind laut den Advisories der Mozilla-Foundation in Version 1.7.6 ebenfalls beseitigt. Allerdings steht diese bislang nur als Entwicklerversion (Nightly Builds) zur VerfĂĽgung, die aber bereits ausreichend stabil sein soll. Auf der Startseite der Mozilla Foundation wird offiziell immer noch 1.7.5 zum Download angeboten. Ob die Fehler auch in Version 1.8 Beta1 ausgemerzt sind, ist noch unklar.
Der c't-Browsercheck demonstriert beispielsweise die Schwachstelle mit Flash-Plug-ins unter Firefox und Mozilla fĂĽr Windows, aber auch andere Betriebssystemversionen sind von dem Problem betroffen.
Siehe dazu auch: (dab)
- c't Browsercheck-Demo auf heise Security
- Bekannte SicherheitslĂĽcken in Mozilla, Firefox und Thunderbird, Advisories der Mozilla Foundation
- Details zu korrigierten Sicherheitslecks in Firefox 1.0.1 auf heise Security
