14.03.2012, 15:11

Frank Ziemann

Firefox 11

Mozilla schließt Pwn2own-Lücke in Firefox

Firefox 11 steht bereit

Mozilla hat in der neuen Firefox-Version 11 acht Sicherheitslücken beseitigt, darunter auch die beim Hacker-Wettbewerb Pwn2own ausgenutzte. Für Unternehmen und Behörden gibt es zudem Firefox ESR 10.0.3.
Die neue Firefox-Version 11 ist nun doch ohne größere Verzögerung frei gegeben worden, wird jedoch noch nicht automatisch verteilt. Die Mozilla-Entwickler haben darin acht Sicherheitslücken geschlossen, von denen sie fünf als kritisch einstufen. Die bei Pwn2own ausgenutzte Firefox-Lücke war intern ohnehin bereits bekannt und beseitigt worden.
Die Pwn2own-Lücke steckt unter den in Mozillas Sicherheitsmitteilung MFSA-2012-19 aufgeführten Speicherfehlern. Sie besteht aus einem nicht näher beschriebenen Problem in der Funktion "array.join". Neben Jeff Warden, der die Lücke zuerst an Mozilla gemeldet hatte, wird auch Pwn2own-Teilnehmer Vincenzo Iozzo als Entdecker genannt. Die Schwachstelle betrifft, wie auch drei weitere, ebenso den alten Firefox-Zweig 3.6, dessen Unterstützung in einigen Wochen endet.
Eine als kritisch eingestufte Lücke im Umgang mit SVG-Animationen (Scalable Vector Graphics) ist mit Googles beliebtem Bug-Tool Address Sanitizer entdeckt worden. Ein Angreifer könnte Code einschleusen und ausführen, indem er bereits wieder frei gegebene Speicherbereiche benutzt ("use-after-free"). Nach dem gleichen Prinzip kann die Systembibliothek shlwapi.dll unter Windows 7 (32 Bit) zum Absturz gebracht werden.
Die gleichen Lücken wie in Firefox 11 haben die Entwickler auch in Firefox ESR 10.0.3 behoben. Der Extended Support Release ist für Unternehmen und Behörden gedacht, die nicht alle sechs Wochen eine neue Firefox-Version evaluieren wollen. Firefox ESR 10 wird etwa ein Jahr lang mit Sicherheits-Updates versorgt, neue Funktionen werden jedoch erst mit der nächsten ESR-Ausgabe, voraussichtlich Firefox 17, eingeführt.
Neben Firefox betreffen die Sicherheitslücken auch das Mail-Programm Thunderbird und die Web-Suite Seamonkey, die auf dem Firefox-Code basieren. Die neuen Thunderbird-Versionen sind 11.0, ESR 10.0.3 sowie 3.1.20; Seamonkey ist in der neuen Version 2.8 erhältlich.
Diskutieren Sie mit anderen Lesern über dieses Thema:
PC-WELT Hacks
PC-WELT Hacks Logo
Technik zum Selbermachen

3D-Drucker selbst bauen, nützliche Life-Hacks für den PC-Alltag und exotische Projekte rund um den Raspberry Pi. mehr

1393471
Content Management by InterRed