Firefox 3.5.2/3.0.13

Mozilla schließt Black-Hat-Lücken in Firefox

Dienstag den 04.08.2009 um 08:41 Uhr

von Frank Ziemann

Updates für Firefox 3.5.x und 3.0.x
Vergrößern Updates für Firefox 3.5.x und 3.0.x
© 2014
Mozilla hat neue Versionen seines Web-Browsers Firefox bereit gestellt. In Firefox 3.5.2 und 3.0.13 haben die Entwickler mehrere Sicherheitslücken beseitigt.
Im Gegensatz zu Microsoft, das im Regelfall auf einen monatlichen Update-Zyklus an festen Terminen setzt, bleibt Mozilla dem Prinzip treu schwer wiegende Sicherheitslücken so schnell wie möglich zu schließen. So haben die Mozilla-Entwickler, nach Firefox 3.5.1 und 3.0.12 in der zweiten Julihälfte, die neuen Versionen 3.5.2 sowie 3.0.13 bereit gestellt. Darin haben sie auch Schwachstellen beseitigt, die in der letzten Woche Thema von Vorträgen auf der Sicherheitskonferenz Black Hat in Las Vegas waren.

Bislang hat Mozilla Sicherheitsmeldungen zu insgesamt sechs beseitigten Schwachstellen veröffentlicht. Vier davon betreffen auch den älteren Versionszweig 3.0.x. Zwei der vier als kritisch eingestuften Sicherheitslücken resultieren aus Fehlern im Umgang mit Sicherheitszertifikaten für SSL-verschlüsselte Verbindungen (HTTPS). Eine weitere Sicherheitsmeldung fasst eine Reihe von Instabilitäten in beiden Versionszweigen zusammen, die zu möglicherweise ausnutzbaren Abstürzen führen können.

Die vierte als kritisch eingestufte Sicherheitslücke betrifft nur den aktuellen Entwicklungszweig 3.5 von Firefox. Installierte Sicherheits-Addons wie Adblock oder Noscript können im Zusammenspiel mit einem Programmierfehler dazu führen, das ein Angreifer beliebigen Javascript-Code mit erweiterten Rechten ausführen kann.

Die in der letzten Woche öffentlich bekannt gewordene Phishing-Lücke in Firefox ist in beiden neuen Versionen beseitigt. Sie wurde Mozilla bereits vor knapp einem Jahr gemeldet und hat eine mittlere Risikoeinstufung erhalten.

Bereits in Firefox 3.0.12 behoben ist ein Fehler, der nun auch in Firefox 3.5.2 beseitigt worden ist. Der Umgang mit Antworten eines SOCKS5-Proxy, die längere DNS-Namen als 15 Zeichen enthalten, kann den nachfolgenden Datenstrom durcheinander bringen. Das Risiko wird von Mozilla als gering eingestuft, da der Fehler nicht ausgenutzt werden kann, um Code einzuschleusen.

Die SSL-Schwachstellen sind auch im Mail-Programm Thunderbird und in der Web-Suite Seamonkey enthalten. Wann es Sicherheits-Updates für diese Programme geben wird, ist derzeit noch unklar.

Download Firefox

Dienstag den 04.08.2009 um 08:41 Uhr

von Frank Ziemann

Kommentieren Kommentare zu diesem Artikel (0)
216232