Sicherheits-Update für Firefox
Das Update 3.0.6 beseitigt mehrere Schwachstellen, von denen die Entwickler zwei als kritisch einstufen. Auch Thunderbird und SeaMonkey sind betroffen. Für beide gibt es aber noch keine offiziellen Updates.
- Daniel Bachfeld
Die Mozilla Foundation hat Firefox in Version 3.0.6 vorgelegt, in der mehrere Schwachstellen beseitigt sind. Zwei davon stufen die Entwickler als kritisch ein, da sich darüber eventuell Code einschleusen und ausführen lässt. Die Lücke findet sich auch in Thunderbird und soll dort in Version 2.0.0.21 behoben werden.
Offenbar planen die Entwickler Version 2.0.0.20 zu überspringen. Bislang steht aber weiterhin nur Version 2.0.0.19 zum Download bereit. Als Termin für die Veröffentlichung von 2.0.0.21 ist im Wiki der Entwickler März 2009 eingetragen.
Auch SeaMonkey ist von dem kritischen Fehler betroffen, der aber in Version 1.1.15 behoben sein soll. Aktuell ist jedoch nur 1.1.14 verfügbar. Vermutlich ist der Fehler auch in Firefox 2.x zu finden. Seit Dezember wird diese Version aber nicht mehr unterstützt, sodass es keine Sicherheits-Updates mehr gibt. Anwender müssen auf Firefox 3.x umsteigen, wenn sie weiterhin mit Patches versorgt werden wollen.
Die anderen Lücken in Firefox ermöglichen unter anderem das Umgehen der Same Origin Policy und das Auslesen von Cookies mit JavaScript, auch wenn die Cookies als HTTPOnly markiert sind. Anwender sollten das Update über die automatische Aktualisierungsfunktion möglichst bald installieren.
Siehe dazu auch:
- Security Advisories for Firefox 3.0
- Webbrowser Firefox 3.0.5 schließt mehrere Sicherheitslücken, Bericht auf heise Security
- Mozilla amputiert Phishing-Schutz in Firefox 2, Bericht auf heise Security
- Firefox 2: Das Ende naht, Bericht auf heise Security
(dab)
