1746097

Sicherheitslücken in Firefox & Co gestopft

03.04.2013 | 14:21 Uhr |

In Firefox 20.0 haben die Mozilla-Entwickler etliche, zum Teil als kritisch eingestufte Schwachstellen behoben. Die meisten dieser Lücken betreffen auch das Mail-Programm Thunderbird und die Websuite Seamonkey.

Zum 15. Geburtstag des Mozilla-Projekts , das am 31. März 1998 durch Netscape gestartet wurde, hat das wichtigste Produkt, der Web-Browser Firefox, die Versionsnummer 20 erreicht. Firefox 20 bietet einige technische Neuerungen , so etwa Private Browsing ohne Neustart des Programms. Außerdem sind einige Sicherheitslücken geschlossen worden.

Die 13 behobenen Schwachstellen werden auf 11 Sicherheitsmitteilungen verteilt dokumentiert, die zunächst alle als kritisch markiert waren. Inzwischen hat Mozilla dies korrigiert, übrig bleiben drei als kritisch eingestufte Meldungen, die fünf Lücken betreffen. Wer eine dieser Lücken ausnutzt, kann beliebigen Code einschleusen und ausführen.

Zwei nicht als kritisch eingestufte Schwachstellen betreffen den Mozilla Updater. Er lädt eine DLL mit beliebigem Code, wenn sie nur mit dem richtigen Dateinamen an der richtigen Stelle platziert wird. Im Mozilla Maintenance Service, der für automatische Updates zuständig ist, kann über bestimmte Aufrufparameter ein Pufferüberlauf provoziert werden. So kann ein Angreifer beliebigen Code mit Systemrechten ausführen. Beide Lücken erfordern lokalen Zugriff auf das Dateisystem, sind also nicht übers Netzwerk ausnutzbar.

Neben Firefox 20.0 für Windows , Mac, Linux und Android gibt es auch noch Firefox 17.0.5 ESR (Extended Support Release) für den Unternehmenseinsatz. Hierin werden nur Schwachstellen behoben, technische Neuerungen bleiben außen vor. Das Mail-Programm Thunderbird ist in der neuen Version 17.0.5 (auch als ESR) erhältlich, Seamonkey steht in der neuen Version 2.17 bereit. In beiden Programmen sind im Wesentlichen die gleichen Lücken geschlossen worden.

0 Kommentare zu diesem Artikel
1746097