1875825

Firefox 26 schließt 17 Sicherheitslücken

12.12.2013 | 12:36 Uhr |

Mozilla hat Updates auf Firefox 26 und Thunderbird 24.2 bereit gestellt, in denen die Entwickler etliche Schwachstellen beseitigt haben. Auch die Websuite Seamonkey ist inzwischen in der neuen Version 2.23 erhältlich.

In dieser Woche hat Mozilla turnusmäßig seinen Web-Browser Firefox und das Mail-Programm Thunderbird in neuen Versionen veröffentlicht. In Firefox 26 haben die Mozilla-Entwickler einige Neuerungen eingeführt und insgesamt 17 Sicherheitslücken geschlossen. Die Dokumentation der Schwachstellen verteilt sich auf 14 Sicherheitsmitteilungen . Sieben Schwachstellen stuft Mozilla als kritisch ein, da sie sich eignen könnten, um Code einzuschleusen und auszuführen.

Mehrere dieser Lücken sind Fehler in der Speicherbehandlung, durch die eingeschleuster Code auf bereits wieder frei gegebene Speicherbereiche zugreifen könnte. Solche Schwachstellen werden häufig mit Fuzzing-Tools wie Address Sanitizer entdeckt, so auch in diesen Fällen. Dabei werden Software-Schnittstellen mit zufälligen Daten penetriert, um Fehlerbedingungen zu erzeugen, die der Programmierer nicht abgefangen hat.

Die gleichen Fehler sind auch in der neuen Thunderbird-Version 24.2 behoben, da das Mail-Programm für die Verarbeitung HTML-formatierter Mails auf Firefox-Code zurück greift. Lediglich drei der in Firefox geschlossenen Lücken betreffen Thunderbird nicht. Auch in Seamonkey 2.23 , das inzwischen erhältlich ist, sind alle Firefox-Lücken beseitigt. Die Websuite vereint Web-Browser, Mail-Client und einige Zusatzfunktionen wie einen HTML-Editor unter einer Oberfläche.

Hauptsächlich für den Unternehmenseinsatz bietet Mozilla so genannte ESR-Versionen (Extended Support Release) der Programme Firefox und Thunderbird an. Sie erhalten mindestens ein Jahr lang nur Sicherheits-Updates, aber keine neuen Funktionen oder andere gravierende Veränderungen. Bei Firefox ist nunmehr die ESR-Version 24.2 aktuell. Für Thunderbird ist bislang noch keine neue ESR-Version erhältlich – die Version 17.0.11 aus dem November ist nach wie vor die neueste ESR-Ausgabe.

0 Kommentare zu diesem Artikel
1875825