Details zu den Lücken in Firefox, Thunderbird und Seamonkey
Die neuen Versionen der Produkte der Mozilla Foundation schließen zahlreiche, schwerwiegende Sicherheitslücken.
Die neuen Versionen von Firefox, Thunderbird und Seamonkey schließen zahlreiche Sicherheitslücken, durch die Angreifer mittels manipulierter Webseiten oder E-Mails Schadcode auf betroffene Systeme einschleusen könnten. Weitere Schwachstellen erlauben Cross-Site-Scripting, die Preisgabe von vertraulichen Informationen wie Cookies, die Umgehung von Sicherheitsmechanismen sowie die Ausweitung der Berechtigungen.
In Firefox und Seamonkey wurden JavaScript-Referenzen auf frame- oder window-Objekte nicht korrekt gelöscht, wenn der referenzierte Inhalt entfernt wurde. Dadurch konnten Schädlinge zur Ausführung kommen. Durch die Zuweisung eigener Werte an das window.navigator-Objekt, bevor die Java-Umgebung startet, konnte ein Absturz provoziert werden, durch den eingeschleuster Code ausgeführt wird. Der Metasploit-Entwickler H. D. Moore hat eine so genannte Race Condition gemeldet, die entsteht, wenn der Garbage Collector eine temporäre Variable löscht, die während der Initialisierung einer neuen Funktion noch genutzt wird. Die darauf folgende Nutzung des gelöschten Objekts könnte zum Ausführen beliebigen Codes führen.
Bei Code-Audits der JavaScript-Engine fanden die Mozilla-Entwickler schließlich weitere Fehler, die dem von H. D. Moore gemeldeten ähnelten, und beseitigten diese. Dabei fanden und behoben sie auch mögliche Integer-Überläufe durch überlange Zeichenketten in der toSource()-Methode von Objekten. Diese Fehler wurden auch in Thunderbird behoben. Da dort jedoch JavaScript standardmäßig deaktiviert ist – und auch abgeschaltet bleiben sollte –, schätzen die Programmierer die Lücke hier nicht als kritisch ein.
Bei gleichzeitig auftretenden XPCOM-Ereignissen könnte aufgrund einer Speicherzugriffsverletzung ein timer-Objekt gelöscht werden, was zu einem Absturz führt. Hierdurch könnten Angreifer in Firefox, Thunderbird und Seamonkey beliebigen Code einschmuggeln. Die Entwickler haben zahlreiche Fehler beseitigt, die zum Absturz der Software führten. Dabei haben sie Hinweise gefunden, dass einige dieser Fehler auf Speicherzugriffsverletzungen zurückzuführen waren. Sie gehen davon aus, dass auch durch diese Lücken beliebiger Code eingeschleust und ausgeführt werden konnte.
Da die mit den neuen Versionen geschlossenen Lücken recht gravierend sind, ist ein baldiges Update dringend anzuraten.
Siehe dazu auch: (dmk)
- Code execution through deleted frame reference, Sicherheitsmeldung der Mozilla-Entwickler
- Javascript navigator Object Vulnerability, Sicherheitsmeldung der Mozilla-Entwickler
- JavaScript new Function race condition, Sicherheitsmeldung von den Mozilla-Entwicklern und H. D. Moore
- JavaScript engine vulnerabilities, Sicherheitsmeldung der Mozilla-Entwickler
- Memory corruption with simultaneous events, Sicherheitsmeldung der Mozilla-Entwickler
- Crashes with evidence of memory corruption (rv:1.8.0.5), Sicherheitsmeldung der Mozilla-Entwickler
