2107174

Mozilla stopft weitere Stagefright-Lücken

12.08.2015 | 15:41 Uhr |

In der neuen Firefox-Version 40.0 hat Mozilla 20 Sicherheitslücken geschlossen. Darunter sind auch Schwachstellen in der Multimediabibliothek Stagefright.

Gestern hat Mozilla die neue Firefox-Version 40.0 freigegeben, die seitdem über das im Browser integrierte Update verteilt wird. Der Mozilla-Browser unterstützt nun auch Windows 10 und bringt einige Verbesserungen und neue Funktionen mit. So soll Firefox 40 unerwünschte Software-Downloads verhindern. Es warnt zudem bei der Installation von Add-ons, die nicht durch Mozilla signiert sind. Außerdem haben die Entwickler 20 Sicherheitslücken geschlossen.

Mozilla verteilt die Beschreibung der gestopften Lücken auf 14 Sicherheitsmitteilungen . So informiert Mozilla im Bericht MFSA2015-83 über drei Lücken in der Multimediabibliothek libstagefright , die in Firefox 40 beseitigt sind. Die so genannten Stagefright-Lücken haben vor allem unter Android-Nutzern für einige Aufregung gesorgt. Mozilla hatte bereits in Firefox 36 eine Schwachstelle in libstagefright (CVE-2015-0829) beseitigt.

Es handelt sich jedoch in allen Fällen um andere Lücken als die sieben für Android relevanten, wie sich an den CVE-Nummern ablesen lässt. Die Probleme, die aus diesen Schwachstellen resultieren, sind jedoch die gleichen. Ein Angreifer könnte etwa mit präparierten MP4-Videos beliebigen Code einschleusen und ausführen. Doch trotz Ankündigungen hat bislang kaum ein Android-Gerät ein Update erhalten, das diese Lücken schließen würde.

Die Mozilla-Entwickler haben noch weitere Sicherheitslücken geschlossen, die sie als kritisch einstufen, weil ein Angreifer darüber Code einschleusen könnte. Dazu zählen etwa zwei Pufferüberläufe in der Bibliothek Libvpx , die für Videos in Googles WebM-Format zuständig ist.

Der verbesserte Schutz vor Malware-Downloads basiert weiterhin auf dem Google-Dienst Safe Browsing, den Firefox seit Jahren nutzt. Bereits seit Firefox 39 fragt der Browser beim Google-Dienst nach, wenn Dateien heruntergeladen werden sollen, die gemäß Dateityp für gewöhnlich ausführbaren Code enthalten. Meldet Safe Browsing, die Datei sei gefährlich, blockiert Firefox den Download. Firefox 40 warnt zudem vor Web-Seiten, die bekanntermaßen betrügerische Software enthalten, die unerwünschte Änderungen am System vornehmen könnte.

Neben Firefox 40.0 ist auch die neue ESR-Version 38.2 (Extended Support Release) erhältlich. Sie bringt keine neuen Funktionen mit, es sind lediglich die Sicherheitslücken gestopft. Die Websuite Seamonkey gerät unterdessen auf Grund technischer Probleme immer weiter ins Hintertreffen. Seamonkey 2.35 sollte Ende Juli erscheinen, ist derzeit für August avisiert, könnte aber auch noch länger auf sich warten lassen . Thunderbird 38.2 sollte hingegen in Kürze verfügbar sein.

0 Kommentare zu diesem Artikel
2107174