Sicherheits-Updates für Firefox und Thunderbird

Mit Firefox 23 haben die Mozilla-Entwickler eine neue Hauptversion bereit gestellt, die eine Reihe Veränderungen im Browser mit sich bringt. Ferner haben sie 15 Sicherheitslücken geschlossen. Soweit diese Lücken das Mail-Programm Thunderbird betreffen, sind sie in dessen neuer Version 17.0.8 behoben. Die neue Seamonkey-Version 2.20 ist inzwischen ebenfalls verfügbar. Zu den in Firefox beseitigten Schwachstellen gehören Lücken im Installationsprogramm (Web-Installer und Komplettpaket), im Updater sowie im Mozilla Maintenance Service. Ein ebenfalls behobener Fehler ermöglichte es lokalen Java-Applets lesend auf das Dateisystem zuzugreifen. Eine XSS-Lücke erlaubte Cross-Site-Scripting unter Vortäuschung einer falschen Web-Adresse. Ferner haben die Entwickler Fehler im Umgang mit dem Speicher korrigiert, durch die ein Angreifer Code einschleusen und ausführen könnte.

Die Sicherheitsfunktion “Mixed Content Blocker” ist nunmehr standardmäßig aktiviert. Sie soll Man-in-the-Middle-Angriffe bei SSL-verschlüsselten Web-Verbindungen unterbinden. Dazu werden aktive Inhalte wie Flash oder Javascript, die nicht per HTTP S geladen werden, blockiert. In der Adressleiste erscheint dann ein graues Schildsymbol. Klickt der Benutzer darauf, erhält er einen Hinweis auf blockierte Inhalte und die Möglichkeit die Blockade für die Website aufzuheben. Wählt er diese Option, ändert sich das Symbol in ein Warndreieck. Passive Inhalte wie Bilder werden nicht blockiert, auch wenn sie nicht per HTTPS geladen werden. Firefox und Thunderbird sind zudem auch in den ESR-Versionen 17.0.8 erhältlich. Sie sind in erster Linie für den Unternehmenseinsatz gedacht und enthalten nur die Sicherheits-Updates, jedoch keine neuen oder veränderten Funktionen. Bei Thunderbird ist die ESR-Version praktisch identisch mit der normalen Fassung. Erst am 17. September soll mit Thunderbird 24 wieder eine Weiterentwicklung des Mail-Programms erscheinen. Dann wird auch Firefox 24 veröffentlicht.