1604753

Firefox 16.0.1 & Thunderbird 16.0.1: Mozilla bessert nach

12.10.2012 | 14:40 Uhr |

Bereits zwei Tage nach Firefox und Thunderbird 16 sind die Versionen 16.0.1 erhältlich, weil mehrere, als kritisch eingestufte Schwachstellen unbehandelt geblieben waren. Auch die ESR-Versionen sowie Seamonkey werden aktualisiert.

Die erst am Dienstag dieser Woche veröffentlichten Versionen 16.0 der Mozilla-Programme Firefox und Thunderbird enthalten mehrere Sicherheitslücken. Die Mozilla-Entwickler haben nun die Versionen 16.0.1 beider Anwendungen bereit gestellt, um insgesamt vier Lücken zu schließen, die sie als kritisch einstufen. Betroffen sind auch die ESR-Versionen (Extended Support Release) beider Programme sowie die Web-Suite Seamonkey. Hier lassen die Updates allerdings noch etwas auf sich warten.

Unabhängige Forscher hatten Fehler in Firefox 16.0 aufgedeckt, durch die Zugriffe auf die Browser-Chronik und das location -Objekt möglich sind, die an sich durch programmatische Sicherheitsprüfungen unterbunden werden sollten. In Firefox 15 und darauf basierenden Produkten besteht sogar ein gewisses Potenzial auf diesem Wege beliebigen Code einschleusen und ausführen zu können.

Bei der Gelegenheit haben die Mozilla-Entwickler gleich noch zwei Crash-Bugs beseitigt. Sie führen zwar in aller Regel nur zum Browser-Absturz, Mozilla stuft sie jedoch trotzdem als kritisch ein. Der Hersteller geht davon aus, dass mit ausreichendem Aufwand ein Weg gefunden werden könnte auch diese Schwachstellen auszunutzen, um Code einzuschleusen und auszuführen. Die ESR-Versionen 10.0.x sind hiervon nicht betroffen.

Eine dieser beiden Lücken betrifft lediglich Firefox für Android und tritt nur auf, wenn auf dem Gerät ein modifiziertes System wie "Cyanogenmod" installiert ist. Standardinstallationen des Android-Systems sind hingegen nicht anfällig. Ein Update für den Mobil-Browser hat Mozilla bereits am 10. Oktober bereit gestellt.

Diese vier Sicherheitslücken, die Mozilla in den beiden neuen Sicherheitsmitteilungen MFSA 2012-88 und -89 aufführt, sollen in Firefox 16.0.1 , Thunderbird 16.0.1 und Seamonkey 2.13.1 beseitigt sein. Firefox und Thunderbird ESR 10.0.9 beheben die beiden Schwachstellen aus dem Bulletin MFSA 2012-89, sind jedoch im Moment noch nicht verfügbar, ebenso wie Seamonkey 2.13.1.

Das Hin und Her um Firefox 16, vor allem die fragwürdige Entscheidung des Herstellers die Auslieferung der neuen Version zu stoppen, sind in erster Linie ein Desaster für die Reputation der beliebten Browser-Software. Firefox 16.0 behebt etwa 20 als kritisch eingestufte Sicherheitslücken der Vorversionen. Dieses wichtige Update wegen weiterer Lücken auszusetzen, die offenbar in den Vorversionen ebenfalls enthalten sind und dort zum Teil sogar noch schlimmere Auswirkungen haben könnten, war keine glückliche Entscheidung der Mozilla-Verantwortlichen.

0 Kommentare zu diesem Artikel
1604753