1856987

Sicherheitslücken in Firefox & Co geschlossen

30.10.2013 | 15:03 Uhr |

In Firefox 25 haben die Mozilla-Entwickler 15 Schwachstellen beseitigt, die sie zum Teil als kritisch einstufen. Die meisten Lücken betreffen auch Thunderbird und Seamonkey, die ebenfalls in neuen Versionen erhältlich sind.

Im mittlerweile gewohnten sechswöchigen Turnus veröffentlicht Mozilla neue Firefox-Versionen. In der aktuellen Version 25 haben die Entwickler ein paar Neuerungen eingeführt, über die wir bereits gestern berichtet hatten. Inzwischen sind auch die Sicherheitsberichte zu den beseitigten Schwachstellen veröffentlicht.

Die 15 in Firefox 25 geschlossenen Sicherheitslücken verteilen sich auf zehn Sicherheitsmitteilungen . Zehn dieser Lücken stufen die Mozilla-Entwickler als kritisch ein. Ein Angreifer, der eine dieser Lücken ausnutzt, könnte beliebigen Code einschleusen und ausführen. Öffentlich verfügbarer Exploit-Code oder gar reale Angriffe im Web sind jedoch bislang nicht bekannt.

bei den meisten der als kritisch angesehenen Schwachstellen handelt es sich um so genannte "Use-after-free"-Lücken. Fehlerhafter Programm-Code versucht hierbei auf bereits wieder freigegebene Speicherbereiche zuzugreifen. Weniger problematisch ist eine Lücke im integrierten PDF-Betrachter pdf.js, die zur Offenlegung lokal gespeicherter Informationen führen kann.

Abgesehen von dieser PDF-Schwachstelle sind alle Lücken prinzipiell auch in bisherigen Versionen des Mail-Programms Thunderbird vorhanden, jedoch in der Regel nicht per Mail ausnutzbar. In der neuen Version Thunderbird 24.1 sind diese Lücken geschlossen. Neuerungen gibt es in Thunderbird nicht.

Dies gilt vermutlich auch für die Web-Suite Seamonkey 2.22 – deren Release Notes sind allerdings noch nicht veröffentlicht. Die Software steht jedoch bereits zum Download bereit. Die Verzögerung gegenüber Firefox ist damit wieder recht gering, nachdem im Frühjahr ein Hardware-Defekt zum Ausfall des Build-Systems geführt hatte.

Neben den neuen Hauptversionen für Endnutzer stellt Mozilla seine Programme Firefox und Thunderbird auch in so genannten ESR-Versionen bereit (Extended Support Release). Darin werden nur einige Sicherheitslücken gestopft, keine neuen Funktionen implementiert. Für Firefox trägt die aktuelle ESR-Version die Nummer 24.1, aber auch der ältere ESR-Versionszweig 17 wird mit Firefox 17.0.10 noch gepflegt. Bei Thunderbird stellt die neue ESR-Version 17.0.10 den aktuellen Stand dar.

0 Kommentare zu diesem Artikel
1856987