Firefox 3.6.2 schließt schwerwiegende Sicherheitslücke
Eine Sicherheitslücke, die das BSI zur Warnung vor Firefox veranlasste, haben die Entwickler der Mozilla-Foundation nun schneller geschlossen als ursprünglich geplant.
Die Mozilla-Foundation hat Version 3.6.2 [1] ihres Open-Source-Webbrowsers Firefox herausgebracht. Firefox 3.6.2 schließt laut den Entwicklern neben anderen Lecks [2] vor allem eine schwerwiegende Lücke [3], die seit Februar bekannt war, zu der Details aber erst seit Kurzem verfügbar sind [4]. Die Entwickler hatten die neue Firefox-Version zwar erst für den 30. März angekündigt, sie aber nun doch schneller fertiggestellt – unter anderem, weil der Sicherheitsdienstleister Secunia die Lücke als hochkritisch eingestuft [5] hat.
Die Lücke erlaubte Angreifern aus der Ferne, die Kontrolle über einen PC zu bekommen. Bekannt wurde die Sicherheitslücke, als der russische Sicherheitsdienstleister Intevydis seinen Kunden einen Windows-Exploit dafür zur Verfügung stellte. Intevydis verhält sich gegenüber Herstellern, in deren Produkten sie Sicherheitslücken entdecken, wenig auskunftsfreudig, und verkauft sein Wissen. Der Entdecker Evgeny Legerov hatte mit seinem Fund zunächst angegeben, ohne Details zu nennen, später aber die Mozilla-Entwickler kontaktiert.
Versionen vor Firefox 3.6 waren von dem Problem nicht betroffen. Die Lücke hatte das vom BSI betriebene Bürger-CERT aber dazu veranlasst, eine Warnung herauszugeben: Bis zum Erscheinen von Firefox 3..6.2 solle man lieber "alternative Browser" einsetzen. Diese Warnung löste aber unter Sicherheitsexperten auch Befremden aus – siehe dazu den Kommentar auf heise Security: "Sicherheit nach Behördenart [6]".
Die Mozilla-Entwickler empfehlen [7], möglichst schnell auf die neue Firefox-Version umzusteigen. Firefox 3.6.2 wird über die Update-Funktion des Webbrowsers verteilt und steht zum Download [8] in diversen Landessprachen (darunter in Deutsch) für Windows, Mac OS X und Linux bereit.
Siehe dazu auch:
- Firefox [9] im heise Software-Verzeichnis
(jk [10])
URL dieses Artikels:
https://www.heise.de/-961024
Links in diesem Artikel:
[1] http://www.mozilla.com/en-US/firefox/all.html
[2] https://bugzilla.mozilla.org/buglist.cgi?quicksearch=ALL%20status1.9.2%3A.2-fixed
[3] http://www.mozilla.org/security/announce/2010/mfsa2010-08.html
[4] https://www.heise.de/news/Sicherheitsluecke-in-Firefox-3-6-gestopft-959713.html
[5] http://secunia.com/advisories/38608/
[6] http://www.heise.de/security/artikel/Sicherheit-nach-Behoerdenart-960763.html
[7] http://blog.mozilla.com/security/2010/03/22/firefox-3-6-2-released/
[8] http://www.mozilla.com/en-US/firefox/all.html
[9] http://www.heise.de/software/download/firefox/19416
[10] mailto:jk@heise.de
Copyright © 2010 Heise Medien