Firefox 2.0.0.6: Wichtiges Sicherheits-Update steht bereit
Ein Firefox-Update jagt das nächste: Nachdem Mozilla.org erst kürzlich mit Firefox 2.0.0.5 ein Sicherheits-Update bereit gestellt hat, sollten sich Benutzer dieses Open-Source-Browser jetzt die Version 2.0.0.6 herunterladen. Sie beseitigt zwei weitere Schachstellen, von denen eine als "kritisch" eingestuft wird.
Firefox 2.0.0.6 steht für WIndows, Linux und MacOS zum Download bereit. In der neuen Version wurden zwei Sicherheitslücken beseitigt. Die eine nennt sich "Privilege escalation through chrome-loaded about:blank windows", sie wird als "moderat" klassifiziert und betrifft Addons für Firefox. Die zweite geschlossene Sicherheitslücke "Unescaped URIs passed to external programs" ist dagegen "kritisch" und der eigentliche Grund für das Update.
Die Lücke betrifft die Art und Weise, wie Firefox eine Zeichenkette an die zuständige Anwendung weitergibt. Eine entsprechend präparierte Web-Seite kann über den Browser einen URL-Handler, etwa "firefoxurl://" oder "skype://", aufrufen, der von einer anderen Anwendung registriert wurde. Der Browser reicht die gesamte Befehlszeichenkette unverändert an die Anwendung weiter. Das kann ein Angreifer ausnutzen und beispielsweise mit einer speziellen Zeichenketten wie unkodierten Anführungszeichen einen Pufferüberlauf in dem Programm verursachen und so Malware einschleusen. Das ist bei Firefox 2.0.0.5 möglich.
Die Lücke betrifft die Art und Weise, wie Firefox eine Zeichenkette an die zuständige Anwendung weitergibt. Eine entsprechend präparierte Web-Seite kann über den Browser einen URL-Handler, etwa "firefoxurl://" oder "skype://", aufrufen, der von einer anderen Anwendung registriert wurde. Der Browser reicht die gesamte Befehlszeichenkette unverändert an die Anwendung weiter. Das kann ein Angreifer ausnutzen und beispielsweise mit einer speziellen Zeichenketten wie unkodierten Anführungszeichen einen Pufferüberlauf in dem Programm verursachen und so Malware einschleusen. Das ist bei Firefox 2.0.0.5 möglich.
Erst vor einigen Tagen hatte Mozilla.org mit Firefox 2.0.0.5 ein Sicherheits-Update veröffentlicht, das acht Schachstellen beseitigte.
Wichtig: Firefox 2.0.0.6 wurde bei Redaktionsschluss noch nicht automatisch über die Update-Funktion von Firefox angeboten. Das wird erst in zirka 24 Stunden der Fall sein. Sie müssen sich die Datei derzeit also separat herunterladen, beispielsweise vom flotten Download-Server der PC-WELT. Die Windowsversion von Firefox 2.0.0.6 ist 5,5 MB groß, die Linux-Version kommt auf etwas über 9 MB und für die MacOS-Version müssen über 17 MB heruntergeladen werden.
