Firefox- und Safari-Updates schließen Sicherheitslücken

Während die Mozilla-Entwickler die Version 2.0.0.14 von Firefox veröffentlicht haben, legt Apple Safari 3.1.1 nach. Die aktualisierten Browser beheben Schwachstellen, durch die Angreifer etwa einen Trojaner einschleusen konnten.

In Pocket speichern vorlesen Druckansicht 97 Kommentare lesen
Lesezeit: 3 Min.
Von

Die Mozilla-Entwickler haben die Version 2.0.0.14 des Webbrowsers Firefox veröffentlicht. Die neue Fassung schließt eine Sicherheitslücke, die die Entwickler beim Abdichten eines anderen Sicherheitslecks aufgerissen haben. Apple schließt derweil vier Schwachstellen im Webbrowser Safari für Windows und Mac OS X, durch die Angreifer mit präparierten Webseiten etwa einen Trojaner einschmuggeln, die Adressleiste fälschen oder Cross-Site-Scripting-Angriffe ausführen konnten.

Die Schwachstelle, die die Mozilla-Programmierer in der Sicherheitsmeldung MFSA2008-20 erläutern, betrifft den JavaScript-Garbage-Collector. Dieser soll durch die Änderungen abstürzen können, die die Programmierer zum Beheben der Lücken vorgenommen haben, die in dem Fehlerbericht MFSA2008-15 (Browser-Abstürze mit Speicherverletzungen) erläutert sind. Dabei soll möglicherweise eingeschleuster Schadcode ausgeführt werden, wofür es im vorliegenden Fall zwar noch keine Demonstration gebe, was in der Vergangenheit in ähnlichen Situationen jedoch der Fall war, erläutern die Mozilla-Entwickler.

Von den Schwachstellen in Safari betreffen zwei ausschließlich die Windows-Version, zwei weitere sowohl die Fassung für Mac OS X als auch für Windows. Unter Windows können Downloads von Dateien mit präparierten Namen zum Absturz oder der Ausführung von eingeschleusten Programmcode führen, außerdem Webseiten den Inhalt der Adressleiste ändern, ohne dass die zugehörige Seite geladen wird – den Fehler haben Apples Entwickler bereits in Safari Beta 3.0.2 behoben, aber in 3.1 wieder eingeführt.

Unter Windows und Mac OS X konnten Regular Expressions in JavaScript zu einem heapbasierten Pufferüberlauf und in dessen Folge zur Ausführung fremden Codes führen, außerdem Angreifer durch das Einfügen eines Doppelpunkts in die Adresse einer Webseite Cross-Site-Scripting-Angriffe durchführen. Die JavaScript-Lücke wurde offenbar beim PWN-to-OWN-Wettbewerb zum Knacken des MacBook Air genutzt.

Der Fehler in Firefox betrifft auch das Mailprogramm Thunderbird und die Browser-Suite Seamonkey. Aktualisierte Versionen davon stehen aber bislang noch nicht zum Download bereit. Nutzer von Firefox sollten das Update zügig einspielen. Es wird bereits über den integrierten Update-Mechanismus ausgeliefert. Safari-Nutzer sollten ebenfalls umgehend die aktualisierte Fassung 3.1.1 einspielen, die auch schon über das automatische Software-Update verteilt wird.

Siehe dazu auch:

(dmk)