Neue Firefox-Version schließt zahlreiche Sicherheitslücken
Einige jetzt geschlossene Lücken im Webbrowser Firefox sollen sich zum Einschleusen und Ausführen von Code ausgenutzt haben lassen. Der E-Mail-Client Thunderbird und die Web-Suite Seamonkey wurden ebenfalls aktualisiert.
- Daniel Bachfeld
Die Mozilla-Foundation hat mit dem Update des Firefox-Browser auf Version 2.0.0.12 zahlreiche Sicherheitslücken beseitigt. Zwar gibt es nur elf Fehlerberichte, darin sind aber teilweise jeweils mehrere Fehler zusammengefasst. Mindestens drei davon stufen die Entwickler als kritisch ein. Dazu gehört ein Fehler, mit dem eine manipulierte Webseite über designMode-Frames die Browser-Historie auslesen kann. Zusätzlich lässt sich der Browser dadurch auch zum Absturz bringen. Nach Meinung der Entwickler ließe sich der Fehler eventuell auch zum Einschleusen von Code ausnutzen.
Der Fehlerbericht 2008-03 erwähnt gleich mehrere kritische Fehler, mit denen es möglich sein soll, JavaScript mit Chrome-Privilegien, also den höchsten Rechten, in Firefox auszuführen. Zudem weist der Bericht auf eine Schwachstelle in der Funktion XMLDocument.load hin, über die sich JavaScript in einen anderen Frame injizieren lässt. Laut Advisory 2008-01 gab es zudem mehrere Fehler in der Browser-Engine, die zum Absturz führten. Bei einigen dieser Fehler vermuten die Entwickler, dass ein Angreifer sie mit einem gewissem Aufwand ausnutzen könne, um einen PC mit Schadcode zu infizieren.
Auch der Mail-Client Thunderbird ist für dieses Problem anfällig, allerdings treten die Fehler wohl nur in Zusammenhang mit JavaScript auf – und das ist in Thunderbird standardmäßig deaktiviert. Der Fehler soll zwar in Version 2.0.0.12 des Mail-Clients behoben sein, bislang steht aber immer noch Version 2.0.0.9 auf den offiziellen Seiten zum Download.
Auch die kürzlich bekannt gewordene Directory-Traversal-Lücke wurde geschlossen. Durch Browser-Add-ons, die nicht als .jar-Archiv verpackt sind, sondern als so genanntes "Flat Package" vorliegen, können Angreifer mit manipulierten chrome://-Verknüpfungen in bestimmten HTML-Tags in Webseiten die Lücke ausnutzen. Die restlichen Fehler sind weniger kritisch bis unkritisch.
Auch die Web-Suite Seamonkey ist in der aktualisierten Fassung 1.1.8 erschienen. Anwender von Firefox, Thunderbird und Seamonkey können zur Aktualisierung die integrierte Update-Funktion benutzen. Anwender der meisten Linux-Distributionen müssen auf die neuen Paketen warten, da die Update-Funktion in den Anwendungen selbst deaktiviert ist.
Siehe dazu auch:
- Known Vulnerabilities in Mozilla Products, Fehlerbericht der Mozilla-Foundation
(dab)
