Updates für Firefox und Seamonkey
Mozilla schließt zehn Sicherheitslücken in Firefox
Die Versionen 3.0.5 und 2.0.0.19 des Web-Browsers Firefox stehen zum Download bereit. Die Entwickler haben eine Reihe zum Teil als kritisch eingestufter Schwachstellen beseitigt. Seamonkey ist zudem in der neuen Version 1.1.14 verfügbar.
Wie angekündigt haben die Mozilla-Entwickler am 16. Dezember aktualisierte Versionen ihres Web-Browsers Firefox bereit gestellt. Insgesamt haben sie darin zehn Sicherheitslücken geschlossen, von denen beide Browser-Generationen in leicht unterschiedlichem Maße betroffen sind. Die im Kern auf Firefox 2 basierende Web-Suite Seamonkey ist ebenfalls aktualisiert worden und ist nun in der Version 1.1.14 erhältlich.
Vier der zehn Sicherheitslücken sind als kritisch eingestuft. Firefox 2 ist in allen vier Fällen betroffen, Firefox 3 in drei und Seamonkey nur in zwei Fällen. Drei dieser kritischen Schwachstellen sind XSS-Anfälligkeiten (Cross-Site Scripting), nur zwei davon betreffen Firefox 3, Seamonkey lediglich eine. Eine davon kann es einem Angreifer ermöglichen die Wiederherstellungsfunktion zu missbrauchen, die nach einem Absturz die Browser-Sitzung auf dem letzten temporär gesicherten Stand restauriert.
Die vierte Sicherheitslücke besteht an sich aus mehreren Fehlern im Code der Browser, die die Stabilität soweit beeinträchtigen können, dass es in bestimmten Situationen zum Programmabsturz kommen kann. Die Entwickler gehen davon aus, dass es mit hinreichendem Aufwand möglich sein kann diese Schwachstellen zum Einschleusen und Ausführen von beliebigem Code auszunutzen.
Weitere, nicht als kritisch angesehene Sicherheitslücken können etwa zur Preisgabe von Daten an Websites führen, die eigentlich keinen Zugriff auf diese Daten erlangen dürften. Dadurch würde die so genannte Same-Origin-Policy verletzt, die einen Server- oder gar Domain-übergreifenden Datenzugriff verbietet - und normalerweise auch verhindert.
Der Versionszweig Firefox 2.x hat mit der Version 2.0.0.19 das Ende seines Lebenszyklus erreicht. Die Bereitstellung weiterer Sicherheits-Updates ist nicht geplant. Firefox-Nutzer sind aufgefordert auf den neueren Versionszweig 3.x umzusteigen. In Firefox 2.0.0.19 ist zudem auch bereits der eingebaute Phishing-Schutz deaktiviert.
Auch das Mail-Programm Thunderbird enthält in der zurzeit noch aktuellen Version 2.0.0.18 einige dieser Schwachstellen. Da Javascript für Mail standardmäßig deaktiviert ist, können die meisten davon jedoch kaum ausgenutzt werden. Die aktualisierte Thunderbird-Version 2.0.0.19 ist noch nicht verfügbar und wird auch noch ein wenig auf sich warten lassen.
Die folgende Tabelle zeigt, welche Programme von den einzelnen Sicherheitslücken betroffen sind:
| Security Advisory | Risikostufe | Firefox 3 | Firefox 2 | Seamonkey | Thunderbird |
|---|---|---|---|---|---|
| MFSA 2008-60 | kritisch | ja | ja | ja | ja |
| MFSA 2008-61 | mittel | nein | ja | ja | ja |
| MFSA 2008-62 | kritisch | nein | ja | nein | nein |
| MFSA 2008-63 | niedrig | ja | nein | nein | nein |
| MFSA 2008-64 | mittel | ja | ja | ja | ja |
| MFSA 2008-65 | hoch | ja | ja | ja | ja |
| MFSA 2008-66 | niedrig | ja | ja | ja | ja |
| MFSA 2008-67 | niedrig | ja | ja | ja | ja |
| MFSA 2008-68 | kritisch | ja | ja | ja | ja |
| MFSA 2008-69 | kritisch | ja | ja | nein | nein |
Download: Firefox 2.0.0.19
Download: Firefox 3.0.5
Screenshotgalerie zu Firefox 3
Firefox 3.0 (RC1)
Firefox 3.0 (RC1)
Firefox 3.0 (RC1)
Firefox 3.0 (RC1)
Firefox 3.0 (RC1)
Firefox 3.0 (RC1)
Firefox 3.0 (RC1)
Firefox 3.0 (RC1)
Firefox 3.0 (RC1)
Firefox 3.0 (RC1)
Firefox 3.0 (RC1)
Firefox 3.0 (RC1)
Firefox 3.0 (RC1)
Firefox 3.0 (RC1)
Firefox 3.0 (RC1)
Firefox 3.0 (RC1)
Firefox 3.0 (RC1)
Firefox 3.0 (RC1)
Firefox 3.0 (RC1)
Firefox 3.0 (RC1)
