131032

Sicherheitslücken in Firefox, Thunderbird und Seamonkey geschlossen

15.09.2006 | 09:31 Uhr |

Die insgesamt acht Schwachstellen, davon vier als kritisch eingestufte, reichen vom Popup-Blocker über gefälschte Zertifikate bis zu Speicherfehlern.

Gestern haben die Mozilla-Entwickler neue Versionen des Web-Browsers Firefox, des Mail-Programms Thunderbird und der Websuite Seamonkey bereit gestellt ( wir berichteten ). Firefox und Thunderbird sind jeweils in der Version 1.5.0.7 erhältlich, Seamonkey als Nachfolger der Mozilla Suite in der Version 1.0.5.

Die insgesamt acht beseitigten Sicherheitsmängel verteilen sich etwas unterschiedlich auf die drei Anwendungen (siehe Bild). Im Mozilla Security Center gibt es zu jeder Schwachstelle eine kurze Beschreibung, die unter der Bezeichnung "Mozilla Foundation Security Advisory" (MFSA) durchnummeriert sind.

MFSA-2006-57 (alle; kritisch)
Werden in Javascript reguläre Ausdrücke verwendet und "ungünstig" abgeschlossen, kann es zu einem Pufferüberlauf und in der Folge zum Absturz des Programms kommen. Möglicherweise kann darüber beliebiger Code eingeschleust und ausgeführt werden.

MFSA-2006-58 (Firefox, Thunderbird; moderat)
Das eingebaute automatische Update bezieht Aktualisierungen nur von einem Mozilla-Server, der sich durch ein gültiges SSL-Zertifikat ausweisen kann. Ein Angreifer könnte die Update-Funktion über DNS-Spoofing an einen anderen Server verweisen und ein gefälschtes Zertifikat einsetzen. Prüft ein Anwender das Zertifikat trotz Warnmeldung nicht sorgfältig genug, kann der Angreifer ihm ein beliebiges Programm als Firefox- oder Thunderbird-Update unterschieben.

MFSA-2006-59 (alle; kritisch)
Konkurrierende gleichzeitige Abläufe bei der Anzeige von Text können unter Umständen zum Programmabsturz führen. Dabei werden Speicherbereiche überschrieben, was theoretisch zum Einschleusen von Code genutzt werden könnte.

MFSA-2006-60 (alle; kritisch)
Ähnlich wie bei OpenSSL können auch den Mozilla-Programmen unerkannt gefälschte RSA-Zertifikate und Mail-Signaturen untergeschoben werden. Dies würde so genannte Man-in-the-Middle-Angriffe ermöglichen, die mit SSL/TLS eigentlich gerade verhindert werden sollen.

MFSA-2006-61 (Firefox, SeaMonkey; gering)
Durch eine Javascript-Anweisung (document.open) kann in eine Website mit Frames ein zusätzlicher Frame injiziert werden, der Besuchern als regulärer Teil der Seite erscheinen mag.

MFSA-2006-62 (Firefox; moderat)
Werden blockierte Popups nachträglich doch noch geöffnet, ist ein Angriff über Cross-Site Scripting denkbar. Um den Popup-Blocker von Firefox für einen erfolgreichen Angriff missbrauchen zu können, müssten allerdings mehrere Umstände zusammen kommen, inklusive der Mithilfe des Besuchers einer Website.

MFSA-2006-63 (Thunderbird, SeaMonkey; hoch)
Selbst bei deaktiviertem Javascript im Mail-Programm (das ist Voreinstellung) gibt es eine Möglichkeit Javascript auszuführen. Dazu wird der Code in einer externen XBL-Datei untergebracht, die beim Öffnen der Mail geladen wird, falls das Nachladen von Bildern aus dem Internet aktiviert ist.

MFSA-2006-64 (alle; kritisch)
Etliche kleinere Programmfehler können zum Überschreiben von Speicherbereichen mit anschließendem Programmabsturz führen. Die Mozilla-Entwickler gehen davon aus, dass zumindest der eine oder andere dieser Fehler zum Einschleusen von beliebigem Code ausgenutzt werden könnte, wenn man sich nur genug bemüht.

Insgesamt liefern die beseitigten Fehler Grund genug für ein umgehendes Update auf die neuen Programmversionen, auch wenn es noch keine öffentlich bekannten Exploits für die Sicherheitslücken gibt. In den Empfehlungen der Mozilla-Stiftung wird mehrfach betont, Javascript sollte im Mail-Programm ausgeschaltet bleiben. Anwender sollten ferner SSL-Zertifikate sorgfältig prüfen und Eigenbau-Zertifikate allenfalls für die aktuelle Sitzung akzeptieren.

Firefox 1.5.0.7 und Thunderbird 1.5.0.7 erschienen (PC-WELT Online, 14.09.2006)

0 Kommentare zu diesem Artikel
131032