801633

Mozilla schließt zehn Lücken in Firefox, Seamonkey & Thunderbird

02.03.2011 | 09:15 Uhr |

Mit zweiwöchiger Verzögerung haben die Mozilla-Entwickler die Sicherheits-Updates für Firefox, Seamonkey und Thunderbird freigegeben. Sie beheben zehn Schwachstellen in Firefox und Seamonkey sowie drei in Thunderbird.

Ursprünglich hatte Firefox-Hersteller Mozilla die neuen Versionen seiner Software für den 14. Februar angekündigt. Doch offenbar hat ein Problem mit dem Schließen einer Sicherheitslücke, die auch das Flash Player Plug-in betrifft, zu einer Verzögerung geführt. Nun sind die neuen Versionen erhältlich und Adobe hat eine korrigierte Fassung des Flash Player veröffentlicht.

In Firefox 3.6.14 und 3.5.17 haben die Entwickler zehn Sicherheitslücken beseitigt, von denen sie acht als kritisch eingestuft haben. Fehler im Umgang mit speziell präparierten JPEG-Bilddateien und verschiedenen Javascript-Konstrukten könnten von Angreifern ausgenutzt werden, um Code einzuschleusen und auszuführen. Die Websuite Seamonkey ist von den gleichen Schwachstellen betroffen, die neue Version 2.0.12 erscheint jedoch mal wieder mit Verzögerung gegenüber Firefox.

Eine in Mozillas Sicherheitsmitteilung MFSA 2011-10 andeutungsweise beschriebene Schwachstelle ist hingegen nicht als kritisch eingestuft. Beim Zusammenspiel von Plug-ins wie dem Flash Player und Server-seitigen Weiterleitungen (HTTP Code 307) kann es zu Datenlecks kommen, die so genannte CSRF-Angriffe (Cross-site Request Forgery) ermöglichen. Von einem Adobe-Forscher entdeckt, hat diese Lücke sowie die Diskussionen um ihre Beseitigung zu dem 15-tägigen Verzug geführt.

Immerhin ist Firefox 3.6.14 gerade noch rechtzeitig erschienen, um beim diesjährigen Pwn2own-Hackerwettbewerb antreten zu können. Google hat seinen Browser Chrome ebenfalls schon abgedichtet . Safari und Internet Explorer sind auch dabei, ebenso einige Smartphones. Der Wettbewerb findet im Rahmen der Sicherheitskonferenz CanSecWest   im kanadischen Vancouver statt und beginnt am 9. März.

Aufforderung zum Flash-Update
Vergrößern Aufforderung zum Flash-Update
© 2014

Das Mail-Programm Thunderbird ist von drei der Firefox-Bugs betroffen, die neue Version 3.1.8  schließt diese Lücken. Der ältere Versionszweig 3.0 wird nicht weiter gepflegt, 3.0.11 ist die letzte Ausgabe. Der nächste Entwicklungsschritt steht mit Version 3.3 bereits in den Startlöchern.

Nach der Installation des Firefox-Updates wird wie üblich eine Mozilla-Website ("What's new") aufgerufen. Diese fordert zur Installation der neuesten Version des Flash Player (10.2.152.32)  auf, die ebenfalls am 1. März erschienen ist.

0 Kommentare zu diesem Artikel
801633