Firefox 3.0.2 beseitigt Sicherheitslücken [Update]
Einige der Fehler haben die Entwickler als kritisch eingestuft, da Angreifer darüber eigenen Code in ein System schleusen und starten können.
- Daniel Bachfeld
Die Firefox-Entwickler haben Version 3.0.2 vorgelegt, in der mehrere Sicherheitsprobleme behoben sind. Dazu zählen vier Fehler in der Layout-, der Rendering- und der JavaScript-Engine, die die Entwickler als kritisch einstufen. Zwar seien beim Auftreten der Fehler nur Abstürze beobachtet worden, allerdings gebe es auch Hinweise darauf, dass sich die Probleme zum Einschleusen und Starten von Code eignen könnten. In einem weiteren Advisory werden zudem Fehler im XPCnativeWrapper als kritisch eingestuft, da ein Angreifer über eine manipulierte Webseite Code im Chrome-Kontext des Browsers ausführen kann, also mit den höchsten Rechten.
Als mittelschwere Probleme sind darüber hinaus zwei Schwachstellen bei der Verarbeitung bestimmter resource://-Protokol-Handler behoben, durch die sich Informationen auf dem System eines Opfers ausspähen lassen. Des Weiteren sind Angreifern nun zwei Möglichkeiten genommen worden, JavaScripte zu verschleiern, um XSS-Filter zu umgehen.
Als unkritisch gilt eine Schwachstelle, mit der ein Angreifer einem Opfer eine Drag&Drop-Aktion im Browser aufzwingen kann, obwohl das Opfer nur mit der Maus auf ein Objekt geklickt hat. Der Trick funktioniert offenbar, weil sich das aktive Fenster während des Klicks bewegen lässt. Das Opfer kann auf diese Weise ungewollt Dateien herunterladen und auf seinem System speichern.
Firefox 3.0.2 ist bereits über das automatische Update und auf den Download-Seiten verfügbar. Von den Problemen sind auch SeaMonkey und Thunderbird betroffen. In der verfügbaren SeaMonkey-Version 1.1.12 und der [Update]Firefox-Version 2.0.0.17[/Update]sind die Fehler ebenfalls behoben. In Thunderbird sollen die Fehler ab Version 2.0.0.17 ebenfalls nicht mehr zu finden sein. Diese ist bislang aber noch nicht verfügbar. Üblicherweise erscheinen die korrigierten Thunderbird-Versionen einige Tage später, da der Mail-Client die Fehler zwar aufweist, diese sich aber meist nicht ausnutzen lassen, da JavaScript standardmäßig in Thunderbird deaktiviert ist. Die Mozilla Foundation rät auch regelmäßig in ihren Sicherheitshinweisen davon ab, diese Einstellung zu ändern.
Siehe dazu auch:
- Forced mouse drag, Fehlerbericht der Mozilla Foundation
- Privilege escalation via XPCnativeWrapper pollution, Fehlerbericht der Mozilla Foundation
- Crashes with evidence of memory corruption (rv:1.9.0.2/1.8.1.17), Fehlerbericht der Mozilla Foundation
- BOM characters, low surrogates stripped from JavaScript before execution, Fehlerbericht der Mozilla Foundation
- Privilege escalation via XPCnativeWrapper pollution, Fehlerbericht der Mozilla Foundation
- Firefox im heise Software-Verzeichnis
- SeaMonkey im heise Software-Verzeichnis
- Thunderbird im heise Software-Verzeichnis
(dab)
