Mozilla hat Firefox und Thunderbird in der neuen Version 17.0 bereit gestellt. Darin haben die Entwickler insgesamt 29 Sicherheitslücken geschlossen. Die Websuite Seamonkey ist auf Version 2.14 aktualisiert worden.
Neben
verschiedenen Neuerungen wie der Social API
haben die Mozilla-Entwickler in
Firefox 17
vor allem Fehler ausgemerzt. Dazu gehören auch 29 Schwachstellen, die Mozilla in
16 Sicherheitsmitteilungen
beschreibt. Ein erheblicher Teil dieser Lücken ist als kritisch eingestuft. Ihre Ausnutzung könnte es einem Angreifer ermöglichen Code einzuschleusen und auszuführen.
Der größte Einzelposten ist das Mozilla Advisory MFSA2012-105, das allein zehn als kritisch eingestufte Schwachstellen behandelt. Sie wurden durch einen Forscher des Google Chrome Sicherheitsteams gemeldet. Dieser hat Address Sanitizer benutzt, ein Werkzeug zum Aufspüren von Lücken wie Pufferüberläufen und Zugriffen auf bereits wieder freigegebene Speicherbereiche ("Use-after-free").
Zusätzliche Sicherheit soll die Möglichkeit für Website-Ersteller bieten, iFrames in HTML5-Seiten mit dem neuen Attribut "sandbox" zu versehen. Damit können Einschränkungen definiert werden, denen das im eingebetteten Frame angezeigte Dokument unterliegen soll. Außerdem haben die Entwickler die Werkzeuge für Web-Entwickler verbessert sowie die die Benutzererfahrung mit der als "Awesome Bar" bezeichneten URL-Zeile, falls ein Theme mit großen Symbolen verwendet wird.
Die meisten der beseitigten Sicherheitslücken betreffen auch
Thunderbird
und
Seamonkey
. Einen Teil der Lücken hat Mozilla auch in den ebenfalls neuen ESR-Versionen 10.0.11 seiner Programme Firefox und Thunderbird beseitigt. Da die ESR-Versionen (Extended Support Release) auf Firefox und Thunderbird 10 basieren, sind manche Schwachstellen gar nicht vorhanden, die in den 17er Versionen behoben worden sind.