Sicherheitslücken in Firefox, Seamonkey & Thunderbird beseitigt

Mozilla hat sein Browser-Flaggschiff in zwei neuen Versionen veröffentlicht. In Firefox 3.6.9 und 3.5.12 sind jeweils 14 Schwachstellen beseitigt worden. Die Web-Suite Seamonkey 2.0.7 sowie das Mail-Programm Thunderbird 3.1.3 und 3.0.7 sind ebenfalls neu. Darin haben die Entwickler die gleichen Lücken gestopft wie in Firefox.

Insgesamt kommen die neuen Mozilla-Version auf 15 beseitigte Schwachstellen, die in den Sicherheitsmitteilungen MFSA 2010-49 bis MFSA 2010-63 dokumentiert sind. Die aktuelle Mozilla-Generation, vertreten durch Firefox 3.6.9 und Thunderbird 3.1.3, ist von der in MFSA 2010-60 beschriebenen XSS-Lücke in SJOW nicht betroffen. Die etwas ältere Generation, die unter der Motorhaube von Firefox 3.5.12, Thunderbird 3.0.7 und Seamonkey 2.0.7 werkelt, ist hingegen nicht für die SJOW-Lücke aus MFSA 2010-59 anfällig. SJOW ist ein Wrapper für Javascript-Code.

Mozilla stuft neun der 14 in Firefox geschlossenen Sicherheitslücken als kritisch ein, sie können also ausgenutzt werden, um eingeschleusten Code auszuführen. Hervorzuheben ist die Beseitigung der Anfälligkeit für das Nachladen von DLLs aus dem Netz (MFSA 2010-52) - ein Problem, das viele tausend Programme verschiedenster Hersteller betrifft. Laut Mozilla gibt es das Problem bei Firefox, Seamonkey und Thunderbird nur unter Windows XP. Ab Windows Vista ist die benötigte Programmbibliothek (DLL) dwmapi.dll standardmäßig vorhanden und liegt im DLL-Suchpfad.

Außerdem bringt Firefox 3.6.9 einen Clickjacking-Schutz mit, von dem vor allem Facebook-Nutzer profitieren könnten. Voraussetzung wäre allerdings, dass Facebook den X-FRAME-OPTIONS-Header implementiert, der auch von den aktuellen Version aller anderen Browser (Internet Explorer 8, Safari 5, Opera 10, Chrome 6) bereits unterstützt wird. Für Firefox- und Seamonkey-Benutzer bietet die Erweiterung Noscript unabhängig davon Schutz vor den auf Facebook verbreiteten Clickjacking-Angriffen.