Updates für Firefox und Seamonkey

Mozilla schließt zehn Sicherheitslücken in Firefox

Mittwoch, 17.12.2008 | 08:32 von Frank Ziemann
Die Versionen 3.0.5 und 2.0.0.19 des Web-Browsers Firefox stehen zum Download bereit. Die Entwickler haben eine Reihe zum Teil als kritisch eingestufter Schwachstellen beseitigt. Seamonkey ist zudem in der neuen Version 1.1.14 verfügbar.
Mozilla schließt zehn Sicherheitslücken in
Firefox
Vergrößern Mozilla schließt zehn Sicherheitslücken in Firefox
© 2014

Wie angekündigt haben die Mozilla-Entwickler am 16. Dezember aktualisierte Versionen ihres Web-Browsers Firefox bereit gestellt. Insgesamt haben sie darin zehn Sicherheitslücken geschlossen, von denen beide Browser-Generationen in leicht unterschiedlichem Maße betroffen sind. Die im Kern auf Firefox 2 basierende Web-Suite Seamonkey ist ebenfalls aktualisiert worden und ist nun in der Version 1.1.14 erhältlich.

Vier der zehn Sicherheitslücken sind als kritisch eingestuft. Firefox 2 ist in allen vier Fällen betroffen, Firefox 3 in drei und Seamonkey nur in zwei Fällen. Drei dieser kritischen Schwachstellen sind XSS-Anfälligkeiten (Cross-Site Scripting), nur zwei davon betreffen Firefox 3, Seamonkey lediglich eine. Eine davon kann es einem Angreifer ermöglichen die Wiederherstellungsfunktion zu missbrauchen, die nach einem Absturz die Browser-Sitzung auf dem letzten temporär gesicherten Stand restauriert.

Die vierte Sicherheitslücke besteht an sich aus mehreren Fehlern im Code der Browser, die die Stabilität soweit beeinträchtigen können, dass es in bestimmten Situationen zum Programmabsturz kommen kann. Die Entwickler gehen davon aus, dass es mit hinreichendem Aufwand möglich sein kann diese Schwachstellen zum Einschleusen und Ausführen von beliebigem Code auszunutzen.

Weitere, nicht als kritisch angesehene Sicherheitslücken können etwa zur Preisgabe von Daten an Websites führen, die eigentlich keinen Zugriff auf diese Daten erlangen dürften. Dadurch würde die so genannte Same-Origin-Policy verletzt, die einen Server- oder gar Domain-übergreifenden Datenzugriff verbietet - und normalerweise auch verhindert.

Der Versionszweig Firefox 2.x hat mit der Version 2.0.0.19 das Ende seines Lebenszyklus erreicht. Die Bereitstellung weiterer Sicherheits-Updates ist nicht geplant. Firefox-Nutzer sind aufgefordert auf den neueren Versionszweig 3.x umzusteigen. In Firefox 2.0.0.19 ist zudem auch bereits der eingebaute Phishing-Schutz deaktiviert .

Auch das Mail-Programm Thunderbird enthält in der zurzeit noch aktuellen Version 2.0.0.18 einige dieser Schwachstellen. Da Javascript für Mail standardmäßig deaktiviert ist, können die meisten davon jedoch kaum ausgenutzt werden. Die aktualisierte Thunderbird-Version 2.0.0.19 ist noch nicht verfügbar und wird auch noch ein wenig auf sich warten lassen.

Die folgende Tabelle zeigt, welche Programme von den einzelnen Sicherheitslücken betroffen sind:

Security Advisory
Risikostufe
Firefox 3
Firefox 2
Seamonkey
Thunderbird
MFSA 2008-60
kritisch
ja
ja
ja
ja
MFSA 2008-61
mittel
nein
ja
ja
ja
MFSA 2008-62
kritisch
nein
ja
nein
nein
MFSA 2008-63
niedrig
ja
nein
nein
nein
MFSA 2008-64
mittel
ja
ja
ja
ja
MFSA 2008-65
hoch
ja
ja
ja
ja
MFSA 2008-66
niedrig
ja
ja
ja
ja
MFSA 2008-67
niedrig
ja
ja
ja
ja
MFSA 2008-68
kritisch
ja
ja
ja
ja
MFSA 2008-69
kritisch
ja
ja
nein
nein

Download: Firefox 2.0.0.19

Download: Firefox 3.0.5

Download: Seamonkey 1.1.14

Mittwoch, 17.12.2008 | 08:32 von Frank Ziemann
Kommentieren Kommentare zu diesem Artikel (0)
71174